/

ActualitéCyber

Guerre Russie/Ukraine, une cyber guerre déclarée ?

14 Mars : découverte de CaddyWiper, le 4eme Wiper déployé durant ce conflit

8 Mars : RURansom, découverte du premier wiper ciblant la Russie

Lundi 21 février 2022, le président russe Vladimir Poutine a annoncé l’indépendance des régions séparatistes (République populaire de Donetsk et de la République populaire de Lougansk) et a commencé à bombarder la capitale Kiev. Aussitôt, l’Europe a condamné cette décision, tout comme les États-Unis qui a enclenché des sanctions économiques.

Un conflit visible

Les effets de la guerre en Ukraine ne font aucun doute. L’escalade dans ce conflit va avoir des conséquences économiques directes. Les marchés ont d’ailleurs déjà vivement réagi. Le FMI reste inquiet sur un éventuel impact.

  • Économiquement d’une part, car la chaine logistique risque d’être perturbée : le secteur de l’aviation, de l’automobile, de production d’équipement agricole, de certains médicaments, risquent d’être touchés.
  • Au niveau de l’énergie, le coût du gaz, risque de subir une importante augmentation. Pour rappel la Russie détient les plus grandes réserves de gaz. Le pays peut donc jouer sur cette dépendance des Européens pour mettre la pression et faire augmenter les prix (même si le gouvernement français se veut rassurant sur ce sujet), voire carrément stopper l’exportation. Rappelons que l’Allemagne a suspendu le service de gazoduc Nord Stream2. Le cours du pétrole va également être impacté, il avait déjà grimpé de 3% jeudi sachant que le cours du baril de Brent montait déjà seul pour s’approcher dangereusement du 100 USD avec de nombreux impacts possibles au niveau mondial.
  • Au niveau agricole, l’Ukraine est le quatrième exportateur mondial du blé, le conflit actuel a eu un impact sur le cours de ce dernier (344 euros la tonne.). La France devrait être moins impactée.

Le risque cyber : un conflit moins visible

Le cas Ukrainien

Plusieurs organisations en Ukraine ont été touchées par une attaque basée sur de nouveaux logiciels malveillants appelés « effaceur de données » ou « wiper ».

Qu’est-ce qu’un wiper ?

Il s’agit de malwares qui ont pour but de détruire la cible en supprimant, corrompant ou chiffrant la majorité de ses données (caches, comptes, applications, fichiers, paramètres…).  Cela rend la cible inutilisable et il est souvent nécessaire de réinstaller son OS mais les données seront tout de même perdues. Ce type de malwares peut aussi bien cibler des PCs, des smartphones ou IoT, mais dans une majorité des cas, ils ciblent des systèmes Windows.

Deux de ces malwares ont fait la une de l’actualité. Il s’agit de WhisperGate et HermeticWiper. Ces derniers ont ciblé des infrastructures Ukrainiennes, mais aussi la Lettonie et la Lituanie. L’Ukraine a aussi été la cible d’attaques de type « DDOS » (Déni de service distribué) qui ont empêchées l’accès à certains sites gouvernementaux.

De quoi s’agit-il ?

WHISPERGATE

L’ampleur des attaques récentes menées contre l’Ukraine comme la cyberattaque nommée « WhisperGate » a affecté une quinzaine de sites web gouvernementaux ukrainiens le 14 janvier dernier, même si elles n’ont pas été reconnues officiellement par le Président Russe, elles pourraient s’étendre au-delà des frontières Ukrainiennes.

Le National Cyber Security Center (NCSC) du Royaume-Uni, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) ont alerté sur Cyclops Blink dès le mercredi 23 février.

Voici les détails du rapport ici :

https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf

Aucune attribution à ce stade. Mais de possibles liens avec le groupe Sandworm.

Qui est Sandworm ?
  • Aka: Voodoo Bear, APT28, Fancy Bear, Sednit, Sofacy
  • Origine : Groupe supposé lié au GRU
  • Technique : phishing
  • Motivation : cyber espionnage, sabotage, subversion
  • Cible : les entreprises ukrainiennes et les agences gouvernementales
  • Campagnes : BlackEnergy de 2015, Industroyer de 2016, opération NotPetya en 2017 et les attaques contre les Jeux olympiques en 2018.

Actif depuis 2019.

Famille : successeur de VPNFilter

Particularité :

  • Il résiste à certaines mesures comme l’arrêt au redémarrage, aux mises à jour du micrologiciel, des systèmes touchés.
  • Il est déployé sur les appareils de la société de matériel réseau WatchGuard.

Capacité : permet de télécharger et charger des fichiers vers et depuis son serveur de commande, et de contrôler, collecter et exfiltrer les informations de l’appareil. Il est modulaire et évolutif (de nouvelles fonctionnalités peuvent lui être ajoutées).

Recommandation :

  • Modifier les mots de passe
  • Mise à jour des périphériques
  • Appliquer les derniers correctifs de sécurité
  • Utiliser l’authentification multifacteurs
  • Restreindre les communications avec des IPs suspectes

Suivre le lien suivant : https://detection.watchguard.com/

ISAACWIPER

IsaacWiper selon l’ESET aurait été déployé dans des campagnes distinctes à celles de HermeticWiper.

IsawWiper aurait été utilisé dans une seconde attaque, toujours contre le gouvernement Ukrainien, le 24 février. « IsaacWiper ne partage aucun chevauchement au niveau du code avec HermeticWiper et est nettement moins sophistiqué »

Aucune attribution officielle n’a été faite à ce jour.

Pour une analyse plus approfondie et obtenir les IoCs voici le lien du rapport ESET :

https://www.welivesecurity.com/fr/2022/03/01/isaacwiper-hermeticwizard-nouveau-ver-effaceur-ukraine/

ATTAQUE DDOS

De nombreuses attaques DDOS ont été découvertes ciblant les agences gouvernementales, des banques ainsi que l’armée ukrainienne.

Katana

Le dimanche 13 février le Botnet Katana touchait les sites Web de plusieurs banques et organisations gouvernementales ukrainiennes. Tous ont été mis hors ligne via une attaque par déni de service distribué.

Fox Blade

Microsoft a détecté le 24 février un nouveau logiciel malveillant nommé FoxBlade. Il s’agirait d’un cheval de Troie utilisé pour les attaques DDOS.

Selon Microsoft toujours, le mode d’accès initial, n’est à ce jour pas connu.

HERMETICWIPER

Mercredi (même si ce malware ne date pas de février, mais du 28 décembre 2021, comme le mentionne l’ESET), l’Ukraine subissait un second assaut, surnommé HermeticWiper. Il s’agit d’un malware d’effacement de données et d’un ransomware basé sur GoLang. Ce malware cible les institutions financières et gouvernementales.

Famille : successeur de KillDisk.NCV

Aka : Win32/KillDisk.NCV

Particularité :

  • Nécessite une première compromission du système avant de pouvoir l’exécuter. Une exécution a été observée après la compromission d’un contrôleur de domaine Windows. Pour d’autres observations du logiciel, la première compromission n’a pas été identifiée.
  • Technique d’effacement des données, exploitée grâce à EaseUS.
  • Il cible directement les appareils Windows (Windows XP, Vista, Seven, 10 et 11) et manipule ensuite le MBR (master boot record). Il s’agit d’une zone sur un disque dur qui permet à l’ordinateur (au système d’exploitation pour être plus précis) de comprendre comment lire et écrire sur le support. Si le MBR est corrompu, l’ordinateur ne pourra jamais plus démarrer, tout devra être réinstallé et toutes les données seront perdues.
  • Attaque ciblée


Capacité : permet d’accéder aux disques physiques, de corrompre voire perdre des données.

Recommandations :

  • Activer le sandboxing

CADDYWIPER

Les analystes de l’ESET ont découvert un nouveau wiper le 14 mars Surnommé CaddyWiper. Il diffère de HermeticWiper, IsaacWiper et WhisperGate.

Il s’agit d’un logiciel malveillant d’effacement de données.

L’EPINEUSE QUESTION DE L’ATTRIBUTION

Le sujet de l’attribution sur ces dernières attaques est délicat. Il faut mettre en garde contre les accusations faciles et sans preuve, car cela requiert d’obtenir des données brutes que nous n’avons pas toujours. L’attribution de ce genre d’attaque prend du temps, et les dernières attaques en Ukraine sont trop récentes. Il faut éviter les suppositions hasardeuses. Dans le cas de l’Ukraine, le contexte est très complexe même si des menaces cyber directes en représailles ont été annoncées par le Président Russe en cas d’interférence dans le conflit armé.

Enfin Il existe également un risque que d’autres acteurs soient opportunistes par l’entremise de l’agression russe, ou de faux drapeaux (« émission de fausses allégations de responsabilité »), et profitent du chaos ambiant pour mener des attaques

LE CAS RUSSE​

RURANSOM

Un nouveau malware vient d’être détecté : RURansom. Il s’agit d’un wiper : il chiffre de manière irréversible les fichiers. Il se propage comme un ver et ciblerait spécifiquement la Russie.

Il aurait été détecté entre le 26 février et le 02 mars.

Risque de généralisation

On ne peut pas dire de manière certaine que ce conflit va se généraliser.

Ce qui est sûr c’est que la guerre 3.0 a commencé en Ukraine. Tous les ingrédients sont là, les négociations, les offensives numériques, les tentatives de déstabilisation par la désinformation.

La crainte de cyberattaques globales reste présente, il faut s’attendre à une diversification des attaques (ransomware, DDOS) et des cibles.

En effet les Etats n’hésitent pas à user d’armes cyber. Cela été le cas avec le logiciel NotPetya qui a paralysé tout un pays.

Ce type de menace pourrait tout à fait s’exporter et semer le trouble au sein des organismes publics (service de santé, eau, biens civils), des infrastructures gouvernementales, et entreprises privées et infrastructures critiques, et ainsi anesthésier les pays.

  • Les entreprises de télécommunication et d’infrastructure Internet peuvent être ciblés.
  • La Banque Centrale Européenne a d’ailleurs été la première à alerter d’un risque imminent d’attaque sur les institutions financières.
  • Les Etats-Unis ont mentionné avoir subi des attaques de reconnaissance sur son secteur énergétique et attribuent ces offensives à l’Etat Russe.
  • La manipulation et la déstabilisation constituent une autre menace appelée désinformation. Certes il n’y a pas de victime directe mais la menace est insidieuse. De nombreuses fausses alertes à la bombe font rage actuellement en Ukraine, semant le chaos, la peur. De fausses informations circulent cultivant le doute. La propagande est une arme.

Les actions cyber

L’Ukraine se prépare à toutes éventualités, comme le fait d’effacer ses serveurs informatiques, transférer ses données sensibles hors de Kiev, couper immédiatement l’accès aux comptes compromis. Les États-Unis et l’Europe ont envoyé des cyber-experts pour aider l’Ukraine à moderniser ses systèmes informatiques. Mais avec l’intensification de la menace les équipes ont dû se délocaliser et ne sont joignables désormais qu’à distance ce qui deviendrait compliqué en cas d’attaque cyber.

Le gouvernement Ukrainien aurait même fait appel aux cyberattaquants de son pays pour se défendre contre une éventuelle menace, et favorise le cyber espionnage. Cette demande a fait écho, puisque on voyait très rapidement des messages de soutien dans les forums de hackers du Darkweb.

La guerre se fait aussi sur le terrain de la désinformation. En produisant de nombreux fake new, la Russie tente de justifier ses actions militaires.

Les exemples ne manquent pas, parmi lesquels l’accusation selon laquelle l’Ukraine commettrait des actes d’agression envers le Donbass, ou encore que des militaires ukrainiens et polonais auraient attaqué des usines chimiques.

Face à ces attaques, des militants Ukrainiens « fact-checkers » avec l’appui de journalistes sur place et Bellingcat, mettent tout en œuvre pour prouver l’inexactitude de ces accusations.

Le collectif de hackers Anonymous a également suivi le pas en désactivant plusieurs sites Web du gouvernement Russe (Russia Today, RT.com).

Et en France ?

La France reste « privilégiée » sur certains aspects ; en effet nous sommes moins dépendants du gaz de par notre production d’énergie nucléaire, et notre collaboration avec la Norvège. Pour ce qui est du blé, là encore nous avons une forte production céréalière sur le sol Français, nous mettant à l’abri d’une éventuelle pénurie.

Pour ce qui est du risque de cyber attaques, la France est exposée aux cybers attaques au même titre que les autres pays, aussi l’ANSSI a adressé un communiqué appelant à la vigilance. Elle prévient des effets possibles dans le cyberespace et demande à chaque entreprise de renforcer leur mesure de cybersécurité. Il en va de même pour les institutions et les OIV.

Elle mentionne aussi les TPE et PME, qui ne sont pas à l’abris d’être la cible d’attaquants.

Pour rappel voici quelques liens concernant l’hygiène numérique :

https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

Une éventuelle riposte Cyber en France est envisagée par le gouvernement Français qui a mis en place des actions et demande à augmenter son niveau de vigilance auprès de toutes ses institutions.

L’ANSSI est en première ligne, elle a émis un bulletin d’alerte, que nous avions relayé dans un précèdent article.

Les préfets français sont également mobilisés. Le président MACRON a demandé à ce qu’ils ne s’éloignent pas de leur lieu d’affectation et leur a imposé «de la disponibilité de l’ensemble des services mobilisés et mobilisables ».

Le risque numérique peut toucher toutes les institutions : les mairies, les instances régionales, les collectivités territoriales, mais également les grands groupes directement soit indirectement via des attaques de leurs chaines logistiques, les PME sont également concernées.

En plus de ces mesures, les conseils des ministres s’enchainent, à la fois en France et en Europe.

La France et l’Europe, doivent se préparer à des attaques, c’est désormais une arme comme une autre. La cyber guerre n’est pas nouvelle, elle est mise en exergue aujourd’hui par les médias. On voit bien ici la place que le monde cyber a sur l’échiquier mondial.

Comment se préparer ?

Plus que jamais il va être nécessaire pour les entreprises de se préparer en cas d’attaque, anticiper au maximum, par un PCA (plan de continuité d’activité) efficace et éprouvé, de renforcer sa défense technologique. Les entreprises vont devoir redoubler de vigilance concernant leurs partenaires, prestataires. Car les attaquants viseront les chaines logistiques. Pour rappel de nombreuses organisations Ukrainiennes fournissent directement les entreprises du Fortune500, et 35 groupes du CAC 40 sont implantés en Russie (TotalEnergies, Renault, Auchan…)

Nous recommandons de :

  1. Suivre le CERT FR : https://www.cert.ssi.gouv.fr/
  2. Suivre les recommandations de l’ANSSI : https://www.ssi.gouv.fr/actualite/tensions-internationales-renforcement-de-la-vigilance-cyber/
  3. Mettre à jour l’ensemble de vos OS.
  4. Rappeler l’importance des risques cyber auprès de vos salariés et sensibiliser à alerter sur tous les évènements inhabituels.

Si vous avez besoin d’un accompagnement ou si vous avez des interrogations sur les protections dont vous êtes équipées, contactez-nous.

Contacter TEHTRIS