Le groupe de pirates informatiques russe Sandworm visait à perturber les opérations d’environ 20 infrastructures critiques en Ukraine, selon un rapport de l’Équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA).

Également connus sous les noms de BlackEnergy, Seashell Blizzard, Voodoo Bear et APT44, les pirates informatiques seraient associés à la Direction principale de l’État-Major général des Forces armées russes (le GRU), effectuant du cyberespionnage et des attaques destructrices sur diverses cibles.

CERT-UA rapporte qu’en mars 2024, APT44 a mené des opérations pour perturber les systèmes d’information et de communication des fournisseurs d’énergie, d’eau et de chauffage dans 10 régions d’Ukraine.

Les attaques ont eu lieu en mars et, dans certains cas, les pirates ont réussi à infiltrer le réseau ciblé en empoisonnant la chaîne d’approvisionnement pour fournir des logiciels compromis ou vulnérables, ou grâce à la capacité du fournisseur de logiciels à accéder aux systèmes de l’organisation pour la maintenance et le support technique.

Sandworm a également combiné des logiciels malveillants précédemment documentés avec de nouveaux outils malveillants (BIASBOAT et LOADGRIP pour Linux) pour obtenir un accès et se déplacer latéralement sur le réseau.

Les experts du CERT-UA ont confirmé la compromission d’au moins trois « chaînes d’approvisionnement », de sorte que les circonstances de l’accès initial non autorisé sont en corrélation avec l’installation de logiciels contenant des portes dérobées et des vulnérabilités ou sont causées par la capacité technique régulière des employés du fournisseur à accéder aux circuits intégrés des organisations pour la maintenance et le support technique. – CERT-UA (traduit automatiquement).


L’agence ukrainienne note que les violations de Sandworm ont été facilitées par les mauvaises pratiques de cybersécurité des cibles (par exemple, le manque de segmentation du réseau et les défenses insuffisantes au niveau du fournisseur de logiciels).

Du 7 au 15 mars 2024, le CERT-UA s’est engagé dans de vastes opérations de lutte contre les cyberattaques, qui comprenaient l’information des entreprises touchées, la suppression des logiciels malveillants et l’amélioration des mesures de sécurité.

Sur la base des conclusions de l’enquête sur les journaux récupérés auprès des entités compromises, Sandworm s’est appuyé sur les logiciels malveillants suivants pour ses attaques contre les fournisseurs de services publics ukrainiens:

  • QUEUE SEED/IcyWell / Kapeka: porte dérobée C++ pour Windows qui collecte des informations système de base et exécute des commandes à partir d’un serveur distant. Il gère les opérations sur les fichiers, l’exécution des commandes et les mises à jour de configuration et peut se supprimer lui-même. Les communications sont sécurisées via HTTPS et les données sont cryptées à l’aide de RSA et AES. Il stocke ses données et maintient la persistance sur les systèmes infectés en chiffrant sa configuration dans le registre Windows et en configurant des tâches ou des entrées de registre pour une exécution automatique.
Exécution planifiée DE LA GRAINE DE FILE d’ATTENTE
  • BATEAU DE BIAIS (nouveau): une variante Linux de QUEUE SEED qui a émergé récemment. Il est déguisé en serveur de fichiers crypté et fonctionne parallèlement à LOAD GRIP.
  • LOAD GRIP (nouveau): également une variante Linux des ENSEMBLES DE FILES d’ATTENTE développée en C, utilisée pour injecter une charge utile dans les processus à l’aide de l’API ptrace. La charge utile est généralement chiffrée et la clé de déchiffrement est dérivée d’une constante et d’un IDENTIFIANT spécifique à la machine.
Script Bash qui charge le BATEAU DE BIAIS et la POIGNÉE DE CHARGE
  • GOSSIPFLOW: les logiciels malveillants basés sur Go sont utilisés sur Windows pour configurer le tunneling à l’aide de la bibliothèque de multiplexeurs Yamux; il fournit une fonctionnalité proxy SOCKS5 pour aider à exfiltrer les données et sécuriser la communication avec le serveur de commande et de contrôle.

D’autres outils malveillants CERT-UA découverts au cours de l’enquête proviennent de l’espace open source et incluent le webshell Weevly, le Regeorg.Neo, Pitvotnacci et tunneliers à ciseau, LibProcessHider, JuicyPotatoNG et RottenPotatoNG.

Les auteurs de menaces utilisaient ces outils pour maintenir la persistance, masquer les processus malveillants et élever leurs privilèges sur les systèmes compromis.

L’agence ukrainienne estime que le but de ces attaques était d’accroître l’effet des frappes de missiles russes sur les infrastructures ciblées.

La semaine dernière, Mandiant a révélé la connexion de Sandworms à trois groupes Telegram de marque hacktiviste qui ont déjà revendiqué des attaques contre des infrastructures critiques en Europe et aux États-Unis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *