Microsoft identifie et atténue de nouveaux malware ciblant l'Ukraine « en 3 heures »

Une opération qui aurait duré des semaines voire des mois il y a quelques années, selon le VP de la sécurité

Les sites Web du gouvernement ukrainien ne sont pas accessibles, alors que l'Ukraine est bombardée de cyberattaques
dans le cadre de l'invasion russe

Tard dans la nuit de mercredi à jeudi, les troupes russes ont envahi les territoires ukrainiens aux frontières nord, sud et est du pays, donnant le coup d'envoi de la plus grande mobilisation de troupes en Europe depuis une génération. Alors que les médias russes tentent de présenter l'invasion comme une réponse à l'agression ukrainienne, les reportages sur le terrain ont joué un rôle crucial pour contrer la propagande, avec des images provenant à la fois de journalistes professionnels et d'amateurs sur les médias sociaux. Des cyberattaques de grande ampleur ont touché les principaux sites Web du gouvernement ukrainien jeudi matin, alors que des explosions et des tirs ont secoué la capitale Kiev et d'autres grandes villes dans le cadre de cette invasion russe.

Les sites Web des ministères ukrainiens de la Défense, des Affaires étrangères et de l'Intérieur ne répondaient pas ou étaient lents à charger après une série d'attaques DdoS. Les cyberattaques se poursuivent depuis mercredi. Le ministre de la transformation numérique, Mykhailo Fedoro, a déclaré qu'une autre « attaque DDoS massive » avait frappé le pays vers 16 heures mercredi.

Selon des chercheurs de l'entreprise slovaque de sécurité Internet, ESET Research Labs, des centaines d'ordinateurs en Ukraine ont été infectés par un logiciel malveillant Windows, qui efface des données. Dans une série de tweets mercredi, l'entreprise de sécurité informatique a déclaré avoir détecté son premier échantillon du logiciel méchant vers 15 h UTC, mercredi dernier, et pense que le code était en préparation depuis deux mois. « La télémétrie d'ESET montre qu'il a été installé sur des centaines de machines dans le pays », a déclaré l'entreprise.

Le logiciel d'effacement des données est signé de façon chiffrée avec un certificat de développeur légitime, et vraisemblablement volé, afin de persuader les outils antivirus et les utilisateurs de lui faire confiance. Selon ESET, le malware utilise les pilotes d'un programme de partitionnement pour corrompre les périphériques de stockage et détruire les fichiers sur les systèmes infectés. La manière dont le malware est déposé sur les machines des victimes et exécuté n'est pas tout à fait claire pour l'instant, bien que dans un cas, selon ESET, le serveur Active Directory d'une organisation a probablement été compromis pour distribuer le malware à travers le réseau via un objet de stratégie de groupe.


Le service de renseignement sur les menaces de Symantec a également indiqué qu'il avait repéré un malware de destruction de données en Ukraine ; l'entreprise détenue par Broadcom a ajouté qu'elle avait également constaté des infections en Lettonie et en Lituanie. ESET a baptisé le méchant Win32/KillDisk.NCV. Le code ne se contente pas d'effacer les fichiers du disque, il détruit également le MBR, ce qui rend le démarrage et la récupération difficiles ou impossibles par la suite. Cette situation survient alors que plusieurs sites Web ukrainiens ont été perturbés à des degrés divers par des attaques par déni de service et que le Centre national de cybersécurité de Grande-Bretagne a mis en garde contre une nouvelle souche de logiciel malveillant liée au Kremlin, qui semble distincte du malware découvert par ESET et Symantec.

« Pour ce qui est de savoir si le logiciel malveillant a réussi à effacer les données, nous supposons que c'est effectivement le cas et que les machines touchées ont été effacées », a déclaré Jean-Ian Boutin, responsable de la recherche chez ESET. Sans nommer les cibles, il a précisé qu'il s'agissait de « grandes organisations ».

Les pannes d'Internet en Ukraine font craindre une panne générale

Mais à mesure que le conflit s'intensifie, de nombreux groupes de la société civile s'inquiètent de plus en plus de la possibilité d'attaques directes contre l'infrastructure Internet du pays. La Russie a déjà été liée à des attaques DDoS contre des sites gouvernementaux ukrainiens, mais un black-out complet signifierait aller plus loin, utiliser des armes physiques ou cybernétiques pour désactiver l'infrastructure de télécommunications au niveau du réseau et réduire les Ukrainiens au silence dans le processus.
L'invasion a déjà réduit la connectivité Internet dans certaines parties du pays. Les pannes semblent être concentrées autour de Kharkiv, la deuxième plus grande ville d'Ukraine, qui est située dans le nord-est du pays, à environ 40 km de la frontière russe. Le projet IODA (Internet Outage Detection and Analysis) de Georgia Tech a signalé des pannes partielles qui ont commencé juste avant minuit le 23 février et se sont poursuivies dans la matinée du 24 février. Les pannes affectent le fournisseur d'accès à Internet Triolan, qui dessert un certain nombre de villes et de zones en Ukraine, dont Kharkiv.

Message posté sur le site Internet de Triolan ISP

Selon NetBlocks, l'outil de suivi des interruptions de service sur Internet, les utilisateurs de Triolan ont signalé la perte des services Internet fixes, tandis que les téléphones portables continuaient à fonctionner. Un message visible sur le site Web de Triolan jeudi matin informait les clients d'une absence partielle ou totale d'accès dans certaines villes. Les mises à jour publiées sur le canal Telegram officiel de l'entreprise vers 10 heures du matin (heure de l'Est) affirmaient que le service avait été en grande partie rétabli, mais les réponses laissaient entendre que de nombreux clients subissaient encore des pannes de réseau. Jusqu'à présent, les forces russes ont mené un certain nombre de frappes aériennes et terrestres contre des cibles stratégiques à travers l'Ukraine, frappant des centres de commandement militaire et des nœuds de transport, selon les médias ukrainiens ; mais aucune attaque concentrée sur les services de télécommunications n'a encore été signalée.

Toutefois, les défenseurs de l'Internet ouvert craignent que ces perturbations ne soient le signe d'une intention stratégique visant à limiter les flux d'informations en provenance de la région, compte tenu des incidents précédents au cours desquels l'infrastructure Internet a été prise pour cible dans des zones de guerre active. Felicia Anthonio, une militante de l'organisation de défense des droits numériques Access Now, a souligné l'impact des coupures d'Internet dans d'autres zones de conflit dans le monde. « L'infrastructure Internet devient une cible afin de contrôler le flux d'informations et de gagner ou de maintenir le pouvoir pendant un conflit, comme nous l'avons vu avec la destruction de l'infrastructure de télécommunications du Yémen en raison des frappes aériennes menées par l'Arabie saoudite. Les coupures d'Internet en période de crise, de conflit et de troubles rendent difficile pour les journalistes et les défenseurs des droits de l'homme d'obtenir des informations vitales dans et hors de ces régions et pour les gens d'accéder à des informations cruciales qui peuvent avoir un impact sur leur sécurité », a déclaré Anthonio.

Si une telle coupure avait lieu, il ne fait aucun doute qu'elle profiterait à la Russie, du moins à court terme. Au début de l'invasion, de nombreux chercheurs partageant sur Twitter des vidéos générées par les utilisateurs dans la région ont vu leur compte suspendu, ce que Twitter a imputé à une erreur de modération. Et si les perturbations d'Internet se généralisent, le risque de violations des droits de l'homme augmente, selon les militants. « Lorsque l'Internet est coupé en temps de crise, nous recevons souvent des rapports sur des violations des droits de l'homme perpétrées contre la population par des acteurs étatiques et non étatiques. Mais sans accès à Internet, il est plus difficile de les corroborer et c'est souvent le but », a déclaré Anthonio.

Dans un contexte plus large, la Russie a envahi cette semaine une zone de l'est de l'Ukraine, prétextant une mission de maintien de la paix visant à protéger deux régions séparatistes de l'Ukraine. Cette action a déclenché de nouvelles sanctions américaines contre Moscou. L'Oncle Sam a averti les entreprises et organisations américaines qu'elles devaient se préparer à des cyberattaques de la part de la Russie en représailles à ces sanctions et à l'opposition de la Maison-Blanche à l'intrusion du président russe Vladimir Poutine en Ukraine. Il est à craindre qu'une invasion complète ne s'ensuive, car la Russie a rassemblé des troupes près de la frontière ukrainienne. Les sites Web et les systèmes de l'Ukraine ont été pris pour cible et perturbés par des mécréants au cours des dernières semaines, dans un contexte de tensions croissantes et de rupture de la diplomatie.

Source : Twitter (1, 2)

Et vous ?

Quel est votre avis sur sujet ?

Voir aussi :

Le président russe Vladimir Poutine peut faire beaucoup plus de dégâts en Ukraine, et l'administration Biden pourrait priver le pays d'une vaste gamme de produits de basse et haute technologie

Des enfants de neuf ans lancent des attaques DDoS contre des écoles au Royaume-Uni, mais les autorités tentent de les dissuader de faire carrière dans la cybercriminalité

Microsoft : un client Azure subit une attaque DDoS record de 2,4 Tbps (téraoctets par seconde) en août, lancée à l'aide d'environ 70 000 bots

Comment les acteurs des ransomwares ajoutent des attaques DDoS à leur arsenal, pour augmenter la pression sur les victimes