Mardi, le ministère ukrainien de la Défense a été victime d'une attaque DDoS qui a empêché les utilisateurs d'accéder à son site Web, et deux banques ukrainiennes (Privatbank et Oschadbank) ont perdu l'accès aux services bancaires en ligne, selon des déclarations du gouvernement.Dans un tweet publié vers 19h00 heure locale, le ministère ukrainien de la Défense a déclaré que son site Web était probablement victime d'une attaque DDoS et que des travaux de restauration du service étaient en cours.
L'attaque DDoS intervient alors que la Russie a prétendu désamorcer un conflit potentiel en retirant ses troupes de la frontière ukrainienne, une déclaration qui a été accueillie avec un « optimisme prudent » par l'OTAN, mais a également fait face au scepticisme au milieu d'une série de signaux contradictoires de l'armée russe.
Dans le même temps, deux banques ont également été victimes d'une attaque par déni de service qui a mis les guichets automatiques hors ligne et empêché certains clients de retirer ou de transférer des fonds en ligne.
Selon une déclaration du Centre pour les communications stratégiques du gouvernement ukrainien, PrivatBank a fait face à une « attaque DDoS massive » qui a bloqué de nombreux services bancaires en ligne, y compris les paiements et les demandes de solde, mais n'a pas affecté les services bancaires de base ni menacé les fonds des clients. Oschadbank a également perdu toutes les fonctionnalités bancaires en ligne, selon le communiqué :
« Au cours des dernières heures, Privatbank a subi une attaque DDoS massive. Les utilisateurs de Privat24 signalent des problèmes avec les paiements et l'application en général. Certains utilisateurs n'arrivent pas du tout à se connecter à Privat24, d'autres n'affichent pas le solde et les transactions récentes.
« Privat assure qu'il n'y a aucune menace pour les fonds des déposants . La cyberattaque concerne uniquement l'application Privat24. Le reste des transactions financières se déroule normalement.
« Oschadbank connaît également des échecs et les services bancaires par Internet sont en panne.
« Les sites Internet du ministère de la Défense et des forces armées d'Ukraine ont également été attaqués .
« On rappellera qu'il ne s'agit pas de la première cyberattaque contre des sites et infrastructures ukrainiens. Le 14 février 2022, les sites Web des organes de l'État ont été attaqués ».
Quelques heures plus tard, un autre communiqué du gouvernement ukrainien indiquait que les banques avaient repris le service en ligne.
La cyberattaque n'a toujours pas été attribuée à un acteur spécifique par le gouvernement ukrainien ou les responsables américains, bien qu'à la lumière de la situation militaire actuelle, beaucoup soupçonnent une implication russe.
Les avis sont partagés sur la question de savoir si ces attaques, qui sont relativement courantes dans les relations russo-ukrainiennes, représentent un précurseur d'une activité militaire ou un retour à la normale. Matt Tait, un analyste de la sécurité connu sous le surnom de pwnallthethings, a tweeté que l'attaque DDoS ne faisait pas « partie de l'invasion » et a appelé à la prudence dans les rapports.
D'autres sources du secteur de la cybersécurité ont également minimisé la gravité de l'attaque. « Nous pouvons confirmer les attaques DDOS mais ne voyons aucune indication que leur impact est critique... cette activité pourrait être de maintenir un sentiment de pression sur l'Ukraine face à des nouvelles plus positives au cours de la dernière journée », a déclaré Matthew Olney, Director of threat intelligence chez Cisco, selon un tweet partagé par le journaliste en cybersécurité Kim Zetter.
Mais selon des rapports du Washington Post, des renseignements récemment déclassifiés suggèrent que les pirates informatiques du gouvernement russe ont probablement déjà compromis l'infrastructure ukrainienne critique et déclencheraient des attaques beaucoup plus dommageables en cas d'invasion.
Le rapport du Post cite un responsable familier avec les documents de renseignement pour affirmer que la Russie serait en mesure de perturber des services tels que l'électricité, les transports, les finances et les télécommunications, soit en soutien direct aux opérations militaires, soit pour créer un sentiment de panique qui déstabiliserait le pays.
Joint par e-mail, un représentant de la Cybersecurity and Infrastructure Security Agency (CISA) a refusé de faire une déclaration sur la situation, mais a dirigé les médias vers une page d'informations détaillant les mesures de préparation prises pour réduire la probabilité d'une cyberattaque russe contre les États-Unis.
Voici ce qui est indiqué :
« Chaque organisation aux États-Unis est exposée aux cybermenaces qui peuvent perturber les services essentiels et potentiellement avoir des effets sur la sécurité publique. Au cours de l'année écoulée, les cyberincidents ont touché de nombreuses entreprises, organisations à but non lucratif et autres organisations, grandes et petites, dans de multiples secteurs de l'économie.
« Notamment, le gouvernement russe a utilisé le cyber comme élément clé de sa projection de force au cours de la dernière décennie, y compris précédemment en Ukraine en 2015. Le gouvernement russe comprend que la désactivation ou la destruction d'infrastructures critiques, y compris l'électricité et les communications, peut augmenter la pression sur le gouvernement, l'armée et la population d'un pays et accélérer leur adhésion aux objectifs russes.
« Bien qu'il n'y ait actuellement aucune menace crédible spécifique contre la patrie américaine, nous sommes conscients de la possibilité pour le gouvernement russe d'envisager d'intensifier ses actions déstabilisatrices d'une manière qui pourrait avoir un impact sur d'autres en dehors de l'Ukraine.
« Sur la base de cette situation, CISA a travaillé en étroite collaboration avec nos partenaires d'infrastructures critiques au cours des derniers mois pour assurer la sensibilisation aux menaces potentielles, dans le cadre d'un changement de paradigme de réactif à proactif.
« CISA recommande à toutes les organisations, quelle que soit leur taille, d'adopter une posture renforcée en matière de cybersécurité et de protection de leurs actifs les plus critiques. Les actions recommandées incluent :
Réduire la probabilité d'une cyber-intrusion dommageable
- Vérifiez que tous les accès à distance au réseau de l'organisation et les accès privilégiés ou administratifs nécessitent une authentification multifacteur.
- Assurez-vous que le logiciel est à jour, en donnant la priorité aux mises à jour qui corrigent les vulnérabilités exploitées connues identifiées par CISA.
- Confirmez que le personnel informatique de l'organisation a désactivé tous les ports et protocoles qui ne sont pas essentiels à des fins commerciales.
- Si l'organisation utilise des services cloud, assurez-vous que le personnel informatique a examiné et mis en œuvre des contrôles rigoureux décrits dans les directives de CISA.
- Inscrivez-vous aux services gratuits de cyber-hygiène de CISA, y compris l'analyse des vulnérabilités, pour aider à réduire l'exposition aux menaces.
Prendre des mesures pour détecter rapidement une intrusion potentielle
- Assurez-vous que le personnel de cybersécurité/informatique se concentre sur l'identification et l'évaluation rapide de tout comportement réseau inattendu ou inhabituel. Activez la journalisation afin de mieux enquêter sur les problèmes ou les événements.
- Confirmez que l'ensemble du réseau de l'organisation est protégé par un logiciel antivirus/antimalware et que les signatures de ces outils sont mises à jour.
- Si vous travaillez avec des organisations ukrainiennes, faites très attention à surveiller, inspecter et isoler le trafic de ces organisations ; examiner attentivement les contrôles d'accès pour ce trafic.
S'assurer que l'organisation est prête à réagir en cas d'intrusion
- Désignez une équipe d'intervention en cas de crise avec les principaux points de contact pour un incident de cybersécurité suspecté et les rôles/responsabilités au sein de l'organisation, y compris la technologie, les communications, la continuité juridique et la continuité des activités.
- Assurez la disponibilité du personnel clé ; identifiez les moyens de fournir un soutien de pointe pour répondre à un incident.
- Effectuez un exercice pour vous assurer que tous les participants comprennent leur rôle lors d'un incident.
Maximiser la résilience de l'organisation face à un cyberincident destructeur
- Testez les procédures de sauvegarde pour s'assurer que les données critiques peuvent être rapidement restaurées si l'organisation est touchée par un rançongiciel ou une cyberattaque destructrice ; assurez-vous que les sauvegardes sont isolées des connexions réseau.
- Si vous utilisez des systèmes de contrôle industriels ou une technologie opérationnelle, effectuez un test des contrôles manuels pour vous assurer que les fonctions critiques restent opérationnelles si le réseau de l'organisation n'est pas disponible ou n'est pas fiable.
« En mettant en œuvre les étapes ci-dessus, toutes les organisations peuvent progresser à court terme vers l'amélioration de la cybersécurité et de la résilience ».
Sources : ministère ukrainien de la Défense , communiqué du gouvernement sur les attaques, Pwn All Things, CISA
Et vous ?
Quelle lecture en faites-vous ? Que pensez-vous des recommandations du CISA ?