L’affilié russe Sandworm a utilisé une autre souche de malware d’essuie-glace baptisée NikoWiper dans le cadre d’une attaque qui a eu lieu en octobre 2022 contre une entreprise du secteur de l’énergie en Ukraine.
« Le NikoWiper est basé sur SDelete, un utilitaire de ligne de commande de Microsoft utilisé pour supprimer des fichiers en toute sécurité », a révélé la société de cybersécurité ESET dans son dernier rapport d’activité APT partagé avec breachtrace.
La société slovaque de cybersécurité a déclaré que les attaques ont coïncidé avec des frappes de missiles orchestrées par les forces armées russes visant l’infrastructure énergétique ukrainienne, suggérant des chevauchements d’objectifs.
La divulgation intervient quelques jours seulement après qu’ESET a attribué Sandworm à un essuie-glace de données basé sur Golang connu sous le nom de SwiftSlicer qui a été déployé contre une entité ukrainienne anonyme le 25 janvier 2023.
Le groupe de menace persistante avancée (APT) lié à l’agence de renseignement militaire étrangère russe GRU a également été impliqué dans une attaque partiellement réussie visant l’agence de presse nationale Ukrinform, déployant jusqu’à cinq essuie-glaces différents sur des machines compromises.
L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a identifié les cinq variantes d’essuie-glace comme CaddyWiper, ZeroWipe, SDelete, AwfulShred et BidSwipe. Les trois premiers de ces systèmes Windows ciblés, tandis qu’AwfulShred et BidSwipe visaient les systèmes Linux et FreeBSD.
L’utilisation de SDelete est remarquable, car elle suggère que Sandworm a expérimenté l’utilitaire comme essuie-glace dans au moins deux cas différents pour causer des dommages irrévocables aux organisations ciblées en Ukraine.
Cela dit, Robert Lipovsky, chercheur principal sur les logiciels malveillants pour ESET, a déclaré à breachtrace que « NikoWiper est un logiciel malveillant différent ».
Outre la militarisation de SDelete, les récentes campagnes de Sandworm ont également exploité des familles de ransomwares sur mesure, notamment Prestige et RansomBoggs, pour verrouiller les données des victimes derrière des barrières de cryptage sans aucune possibilité de les récupérer.
Ces efforts sont la dernière indication que l’utilisation de logiciels malveillants destructeurs d’essuie-glace est à la hausse et est de plus en plus adoptée comme cyber-arme de choix par les équipes de piratage russes.
« Les essuie-glaces n’ont pas été largement utilisés car ce sont des armes ciblées », a déclaré Dmitry Bestuzhev de BlackBerry à breachtrace dans un communiqué. « Sandworm travaille activement au développement de familles d’essuie-glaces et de rançongiciels utilisés explicitement pour l’Ukraine. »
Il n’y a pas que Sandworm, car d’autres entreprises parrainées par l’État russe telles que APT29, Callisto et Gamaredon se sont engagées dans des efforts parallèles pour paralyser l’infrastructure ukrainienne via des campagnes de phishing conçues pour faciliter l’accès par des portes dérobées et le vol d’identifiants.
Selon Recorded Future, qui suit APT29 (alias Nobelium) sous le nom de BlueBravo, l’APT a été connecté à une nouvelle infrastructure compromise qui est probablement utilisée comme leurre pour fournir un chargeur de logiciels malveillants nommé GraphicalNeutrino.
Le chargeur, dont la fonction principale est de fournir des logiciels malveillants de suivi, abuse de l’API de Notion pour les communications de commande et de contrôle (C2) ainsi que de la fonction de base de données de la plate-forme pour stocker les informations sur les victimes et préparer les charges utiles à télécharger.
« Tous les pays ayant un lien avec la crise ukrainienne, en particulier ceux qui entretiennent des relations géopolitiques, économiques ou militaires clés avec la Russie ou l’Ukraine, courent un risque accru d’être ciblés », a déclaré la société dans un rapport technique publié la semaine dernière.
Le passage à Notion, une application de prise de notes légitime, souligne « l’utilisation élargie mais continue » par APT29 de services logiciels populaires tels que Dropbox, Google Drive et Trello pour mélanger le trafic de logiciels malveillants et contourner la détection.
Bien qu’aucun logiciel malveillant de deuxième étape n’ait été détecté, ESET – qui a également trouvé un échantillon du logiciel malveillant en octobre 2022 – a émis l’hypothèse qu’il « visait à récupérer et à exécuter Cobalt Strike ».
Les conclusions viennent également de peu après que la Russie a déclaré qu’elle était la cible de « l’agression coordonnée » de l’Occident en 2022 et qu’elle a fait face à des « cyberattaques externes sans précédent » de la part des « agences de renseignement, des sociétés informatiques transnationales et des hacktivistes ».
Alors que la guerre russo-ukrainienne entre officiellement dans son douzième mois, il reste à voir comment le conflit évoluera dans le cyberespace.
« Au cours de l’année écoulée, nous avons vu des vagues d’activité accrue – comme au printemps après l’invasion, à l’automne et des mois plus calmes au cours de l’été – mais dans l’ensemble, il y a eu un flux presque constant d’attaques », a déclaré Lipovsky. « Donc, une chose dont nous pouvons être sûrs, c’est que nous verrons davantage de cyberattaques. »