Conflit Russie-Ukraine : la guerre est aussi cyber

De nombreux chercheurs s’accordent même à dire que la première offensive dans ce conflit semble bien avoir été cyber. En effet, le 23 février, quelques heures avant le début de l’invasion physique, plusieurs chercheurs en sécurité annoncent avoir observé des attaques à l’encontre de systèmes d’informations ukrainiens. Derrière un rançongiciel apparaissant comme étant de mauvaise qualité, le but semblait plutôt être de nuire en effaçant les données et en cassant la zone d’amorçage des disques hébergeant un système Windows. Chacun y va de son petit nom, HermeticWiper, KillDisk ou encore FoxBlade chez Microsoft… Pour le rançongiciel, vous avez pu entendre parler de PartyTicket ou encore HermeticRansom. L’éditeur Avast a d’ailleurs publié un outil de récupération des données chiffrées pour les victimes. Vous trouverez en référence [1] de la lecture sur le sujet.
Cette attaque semblerait être la suite de celle observée en janvier par Microsoft et baptisée WhisperGate, dont le procédé est assez similaire [2].

En parallèle, d’importantes attaques de type déni de service distribué (DdoS) ciblant les sites bancaires et gouvernementaux ukrainiens étaient observés [3].

Le petit monde du cybercrime choisit son camp, certains groupes comme celui derrière le rançongiciel Conti, soutiennent leur pays et annoncent que toute attaque cyber à l’encontre de la Russie sera suivie de représailles.

D’autres décident de s’en prendre à la Russie, interdiction de séjour sur un forum de ventes et de partages de fuites de données, attaques via déni de service contre la Russie, publication de listes d’adresses de courriels de directeurs du FSB...

Un groupe originaire du Brésil apporte son soutien à la Russie en s’attaquant au secteur de l’éducation ukrainien [4]. De son côté, le jeune Ministre en charge de la transformation numérique et vice Premier Ministre ukrainien, Mykhailo Fedorov, annonce la création d’une armée du numérique et appelle toutes les « bonnes volontés » armées d’un clavier, du côté obscur de la force ou non à s’attaquer aux infrastructures Russes [5].

Plusieurs sites russes, gouvernement, médias, banques se voient dans l’ombres par moments [6].

Sans oublier la fuite massive de données sur le groupe cyber criminel russe derrière le rançongiciel Conti, avec plusieurs milliers de messages échangés entre les membres du groupe sur le chat interne, le code source de l’outil de chiffrement et de déchiffrement des données dans une première version, et même des fiches de renseignements sur les attaquants.

Parmi les échanges, quelques perles trouvées par hasard :

« Il m'a eu l'autre jour, il a fait un deal avec toi pour tomber l'hôpital.
Et maintenant il remet l'hôpital en place.
C'est un manque de respect.
Je lui ai dit deux fois qu'on ne touche pas au secteur hospitalier. »

« Quand les Français vont-ils nous payer ? »

« Trou du cul français, il ne répond pas »

« Bonjour

Je suis un négociateur officiel pour les rançons concernant les entreprises/institutions françaises.
A l'avenir, envoyez-moi un email, nous pouvons échanger via Jabber avec OTR ou tout autre canal que vous souhaitez.
Je vous ferai gagner du temps et de l'argent, je connais tout le monde.
Merci. xxxxfr[AT]protonmail.com »

On « découvre » aussi un joli chiffre d’affaires, avec plus de 2,5 milliards d’euros de recettes dans le porte-monnaie du groupe en moins de 5 ans [7].

Et pour nous aider dans la détection de menaces, des méthodes, des outils et plus de 3500 adresses IP publiques utilisées par les attaquants.

Microsoft, comme d’autres firmes américaines a annoncé suspendre la vente de ses produits et services en Russie [8]. La Russie planche donc sur un amendement qui autoriserait les entreprises du pays à utiliser des logiciels américains en se dispensant d’acquérir des licences [9]

De son côté l’ANSSI appelle à la plus grande vigilance, partage quelques indicateurs de compromission et rappelle les bonnes pratiques [10]. L’agence expose également un point de vue sur l’utilisation des solutions de sécurité Kaspersky en indiquant qu’aucun élément objectif à ce jour ne permet de remettre en cause les solutions et que dans ce contexte, il vaut mieux avoir des solutions de sécurité Kaspersky que de ne rien avoir. Le risque qui paraît le plus probable est la possible indisponibilité des mises à jour des outils du fait des campagnes de déni de service distribués ciblant la Russie. Des chercheurs de la société Kaspersky investiguent d’ailleurs sur des attaques menées contre l’Ukraine.

Il faut avoir en tête que des indisponibilités d’accès à divers sites ou services sont prévoir, comme l’ont vécu par exemple les abonnées Nordnet [11] au début du conflit, et surtout que, comme lors du début de la crise sanitaire en 2020, le thème d’actualité (la guerre en Ukraine cette fois-ci) va être massivement exploité et mis à toutes les sauces par les attaquants, notamment dans des campagnes de phishing et arnaques en tout genre, comme le prouve un rapport de Bitdefender [9] sur le sujet.

Soyons tous cybervigilants !

[1] https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/

https://twitter.com/threatintel/status/1496578746014437376 

https://twitter.com/ESETresearch/status/1496581903205511181 

https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-cyberattacks/ 

https://decoded.avast.io/threatresearch/help-for-ukraine-free-decryptor-for-hermeticransom-ransomware/ 

[2] https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/ 

[3] https://cip.gov.ua/en/news/chergova-kiberataka-na-saiti-derzhavnikh-organiv-ta-banki 

[4] https://www.wordfence.com/blog/2022/03/ukraine-universities-hacked-by-brazilian-via-finland-as-russian-invasion-started/

[5] https://twitter.com/FedorovMykhailo/status/1497642156076511233

https://twitter.com/ServiceSsu/status/1498261578969497601 

[6] https://www.bleepingcomputer.com/news/security/ukraine-says-its-it-army-has-taken-down-key-russian-sites/

[7] https://twitter.com/vxunderground/status/1498394338027610124

[8] https://blogs.microsoft.com/on-the-issues/2022/03/04/microsoft-suspends-russia-sales-ukraine-conflict/ 

[9] https://www.bleepingcomputer.com/news/government/piracy-ok-russia-to-ease-software-licensing-rules-after-sanctions/ 

[10] https://www.cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-001/

https://www.ssi.gouv.fr/actualite/tensions-internationales-renforcement-de-la-vigilance-cyber/ 

https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf 

[11] https://www.lepoint.fr/high-tech-internet/une-cybertattaque-prive-des-milliers-d-europeens-d-internet-05-03-2022-2467034_47.php