La Russie a mis en garde jeudi contre les cyberattaques visant les opérateurs d’infrastructures critiques nationales, alors que l’invasion totale de l’Ukraine entre dans sa deuxième journée.
En plus de mettre en garde contre la « menace d’une augmentation de l’intensité des attaques informatiques« , le Centre national russe de coordination et de réponse aux incidents informatiques a déclaré que les « attaques peuvent viser à perturber le fonctionnement de ressources et de services d’information importants, à porter atteinte à la réputation, y compris à des fins politiques« .
« Toute défaillance dans le fonctionnement d’objets [d’infrastructures d’information critiques] due à une raison qui n’est pas établie de manière fiable, tout d’abord, doit être considérée comme le résultat d’une attaque informatique, a ajouté l’agence.
En outre, elle a signalé de possibles opérations d’influence entreprises pour « donner une image négative de la Fédération de Russie aux yeux de la communauté mondiale », faisant écho à une alerte similaire publiée la semaine dernière par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) concernant les efforts de manipulation de l’information par des acteurs étrangers pour frapper des entités critiques.
Cet avis intervient alors que de nombreux sites Web gouvernementaux et bancaires en Russie, y compris ceux de l’armée (mil.ru), du Kremlin (kremlin.ru) et de la Douma d’État (duma.gov.ru), ont été rendus inaccessibles dans le cadre d’une série de cyber-attaques visant l’Ukraine, qui ont abouti au déploiement d’un nettoyeur de données appelé HermeticWiper sur des centaines de machines dans ce pays d’Europe de l’Est.
Il est important de noter que le wiper utilise des privilèges élevés sur l’hôte compromis pour rendre l’hôte « non amorçable » en remplaçant les enregistrements et les configurations de démarrage, en effaçant les configurations des périphériques et en supprimant les copies d’ombre », a déclaré Lavi Lazarovitz, responsable de la recherche en sécurité chez CyberArk Labs, dans une déclaration partagée.
» Le wiper est configuré pour ne pas chiffrer les contrôleurs de domaine – c’est-à-dire pour maintenir le domaine en fonctionnement et permettre au ransomware d’utiliser des informations d’identification valides pour s’authentifier auprès des serveurs et chiffrer ceux-ci. Cela montre que les acteurs de la menace utilisent des identités compromises pour accéder au réseau et/ou se déplacer latéralement« , a expliqué M. Lazarovitz.
On ne sait pas exactement combien de réseaux ont été touchés par ce malware inédit qui efface des données et qui, selon Symantec, visait des organisations des secteurs de la finance, de la défense, de l’aviation et de l’informatique. La société détenue par Broadcom a également déclaré avoir observé des preuves d’attaques par essuyage contre des machines en Lituanie, ce qui implique un effet de contagion.
En outre, HermeticWiper présente des similitudes avec un autre logiciel d’effacement de données appelé WhisperGate, dont l’utilisation contre des organisations ukrainiennes a été signalée pour la première fois en janvier. Comme ce dernier, le nouveau malware découvert s’accompagne de la diffusion d’une souche de ransomware sur les systèmes compromis.
Le ransomware est un fichier .EXE 64 bits de 3,14 Mo, écrit en Golang, selon Chen Erlich, ingénieur en réponse aux incidents chez Cybereason, qui a partagé une analyse préliminaire de l’exécutable.
Il semble probable que le ransomware ait été utilisé comme un leurre ou une distraction pour les attaques par essuyage, a déclaré Symantec. « Cela présente certaines similitudes avec les précédentes attaques wiper WhisperGate contre l’Ukraine, où le wiper était déguisé en ransomware. »
L’analyse médico-légale initiale suggère que les attaques pourraient avoir été en mode de préparation depuis au moins trois mois, ce qu’avec une activité malveillante potentiellement liée détectée dans une organisation lituanienne dès le 12 novembre 2021. En outre, l’un des échantillons d’HermeticWiper a été trouvé avec un horodatage de compilation du 28 décembre 2021.
Bien que les dernières actions perturbatrices n’aient pas encore été formellement attribuées, les gouvernements du Royaume-Uni et des États-Unis ont établi un lien entre les attaques DDoS contre l’Ukraine à la mi-février et la Direction principale du renseignement de la Russie (également connue sous le nom de GRU).
Alors que les attaques se poursuivent dans les domaines physique et numérique, Reuters rapporte que le gouvernement ukrainien sollicite l’aide de la communauté clandestine des hackers du pays pour repousser les cyberinfiltrations visant les infrastructures critiques et mener des missions d’espionnage secrètes contre l’invasion des forces russes.