DE | FR
Les systèmes informatiques ukrainiens sont dans la ligne de mire de pirates russes. Quelles cyber-armes ont-elles été utilisées jusqu'à présent? Qui se cache derrière tout cela?
Les systèmes informatiques ukrainiens sont dans la ligne de mire de pirates russes. Quelles cyber-armes ont-elles été utilisées jusqu'à présent? Qui se cache derrière tout cela?image: Shutterstock

Comment le FBI a déjoué les attaques des hackers d'élite de Poutine

L'invasion russe de l'Ukraine est marquée par des crimes de guerre présumés. Mais des vagues d'attaques se succèdent également dans le cyberespace.
Diese Story ist auch auf Deutsch verfügbar. Zur Story
10.04.2022, 17:53
Daniel Schurter
Daniel Schurter
Daniel Schurter
Suivez-moi

Les pirates informatiques d'élite de Poutine, rattachés au service de renseignement militaire GRU, ont essuyé, cette semaine, une défaite qu'ils n'ont pas vue venir. Leur plan d'attaque, préparé avec un grand soin technique, a été déjoué par le FBI.

Par le passé, le groupe «Sandworm» avait piraté des milliers de routeurs via une faille de sécurité non corrigée et les avait ajoutés à une armée d'appareils zombies (contrôlés à l'insu de leur utilisateur). Ce réseau devait très probablement être utilisé pour des attaques destructrices. Mais, pour une fois, les spécialistes informatiques de la défense, en Occident, ont été plus rapides.

Cyclops Blink

Type de malware: Botnet / outil d'attaque
Découverte: juin 2019 / février 2022
Système impacté: Linux
Dommages causés: non chiffrés

En anglais, «Cyclops Blink» signifie littéralement que les cyclopes clignent des yeux. Cette image peut paraître amusante. Mais, dans la réalité, ce nom désigne un outil offensif redoutable. Il s'agit d'une cyberarme de fabrication russe.

Depuis février 2022, nous savons que Cyclops Blink a infiltré des milliers d'appareils réseau des fabricants WatchGuard et Asus. Le malware les a ajoutés à une armée de logiciels contrôlables à distance. Selon les autorités américaines, c'est le groupe de pirates informatiques d'élite Sandworm qui est à l'origine de cette attaque.

Le ministère américain de la Justice a annoncé, mercredi, que le FBI avait réussi à paralyser le botnet. Il a souligné que l'opération avait été autorisée par les tribunaux de Californie et de Pennsylvanie.

«Grâce à notre étroite collaboration avec des partenaires internationaux, nous avons pu détecter l'infection de milliers d'appareils en réseau. Nous avons ensuite été en mesure de désactiver le contrôle du GRU sur ces appareils avant que le botnet ne soit armé.»
Merrick Garland, procureur général des Etats-Unisquelle: cyberscoop.com

Les spécialistes du FBI sont parvenus à copier et à évaluer le logiciel malveillant à partir d'appareils réseau infectés aux Etats-Unis, sans que personne ne le remarque. Ils ont ainsi réussi à couper la connexion avec le serveur de commande et de contrôle.

Les autorités américaines parlent d'un «succès», mais avertissent que les propriétaires d'appareils devraient prendre des mesures pour éviter tout risque de piratage. En d'autres termes, il faut mettre à jour le firmware du routeur de toute urgence.

Un firmware, c'est quoi?
Un firmware (ou logiciel embarqué en français) est un programme informatique qui est intégré dans un appareil. Il participe à son bon fonctionnement et lui permet d’évoluer (via l’installation de mises à jour) sans avoir besoin de remplacer ce matériel ou de revoir son design. Tous les appareils électroniques en sont équipés: les ordinateurs, les tablettes, les smartphones, les photocopieurs, les appareils photo et vidéo, les routeurs, les disques durs externes, etc.

Selon le ministère américain de la Justice, on peut supposer que Cyclops Blink est le successeur de VPNFilter. Il s'agit d'un botnet découvert en 2018 par des chercheurs en sécurité. Le malware était ensuite devenu la cible d'une opération américaine.

«AcidRain»

Type de malware: Wiper
Découverte: le 24 février 2022
Système impacté: Linux
Dommages causés: non chiffrés

Le 24 février dernier, parallèlement à l'invasion russe, une cyberattaque paralyse des dizaines de milliers de modems haut débit en Ukraine. Le réseau satellite KA-Sat de l'opérateur américain Viasat est concerné.

L'attaque, savamment préparée, vise les terminaux de Skylogic, une filiale d'Eutelsat. Dommage collatéral, le fonctionnement de milliers d'éoliennes en Europe se voit perturbé et la maintenance à distance n'est plus possible.

Comme les experts en sécurité informatique l'ont découvert plus tard, les pirates ont pu s'introduire dans le réseau informatique de Viasat grâce à une application VPN mal configurée. Ils ont ensuite réussi à introduire leur malware «AcidRain» sur les routeurs et les modems via une mise à jour du micrologiciel.

  • Tout d'abord, AcidRain supprime ou écrase tous les fichiers non standards sur les appareils.
  • Ensuite, le maliciel tente de détruire les données sur les cartes mémoire SD existantes, les mémoires flash (SSD), les appareils connectés et d'autres ressources.
  • Enfin, le logiciel malveillant exécute un appel système pour la synchronisation afin de s'assurer que les modifications sont prises en compte. L'appareil concerné redémarre et devient alors inutilisable.
  • Maigre consolation: les appareils peuvent être utilisés normalement après la réinitialisation à l'état d'usine.

En analysant l'incident, les informaticiens trouvent des parallèles avec des logiciels malveillants plus anciens («VPNFilter»), qui laissent supposer que le groupe russe de pirates d'élite Sandworm en est à l'origine.

«HermeticWiper»

Type de malware: Wiper
Découverte: le 23 février 2022 (à 14h52)
Système impacté: Windows
Dommages causés: non chiffrés

La veille de l'invasion de l'Ukraine par les forces russes, un nouveau logiciel malveillant Windows est utilisé contre un certain nombre d'organisations ukrainiennes. Les spécialistes de la société de sécurité informatique Eset lui donnent le nom de «HermeticWiper», basé sur un certificat numérique d'une société chypriote appelée Hermetica Digital Ltd.

Comme il s'est avéré par la suite, ce certificat n'a pas été volé. Selon Reuters, au contraire, il est possible que les pirates se soient fait passer pour des représentants de l'entreprise chypriote afin d'obtenir le document numérique auprès de l'autorité de certification compétente (DigiCert).

Grâce au certificat, le maliciel Windows peut contourner les fonctions de sécurité du système et obtenir l'accès à de nombreuses structures de données sur le disque dur. Dès qu'il reçoit l'ordre d'attaquer, il commence à supprimer des fichiers et à écraser des données afin de rendre toute récupération impossible.

Le malware est composé de trois ingrédients:

  • HermeticWiper: rend le système inutilisable en écrasant ou en supprimant des données.
  • HermeticWizard: diffuse HermeticWiper via un réseau local avec des systèmes Microsoft.
  • HermeticRansom: il s'agit d'un ransomware écrit dans le langage de programmation Go. Il a été utilisé en même temps que HermeticWiper, peut-être pour détourner l'attention de Wiper.

Le malware est observé sur des centaines de systèmes informatiques dans au moins cinq organisations ukrainiennes. Les spécialistes de la sécurité d'Eset estiment que les réseaux ont été compromis bien avant l'utilisation de Wiper.

«IsaacWiper»

Type de malware: Wiper
Découverte: le 24 février 2022
Système impacté: Windows
Dommages causés: non chiffrés

Alors que l'offensive russe pénètre en Ukraine, Wiper s'attaque au réseau gouvernemental ukrainien. Les spécialistes d'Eset baptisent ce malware «IsaacWiper». Ils le décrivent comme bien moins avancé techniquement que HermeticWiper. Mais ici aussi, les utilisateurs touchés perdent leurs fichiers et ne peuvent plus démarrer leur PC, ce qui les oblige à réinstaller le système d'exploitation.

«CaddyWiper»

Type de malware: Wiper
Découverte: le 14 mars 2022
Système impacté: Windows
Dommages causés: non chiffrés

Le 14 mars, les spécialistes d'Eset ont à nouveau détecté un logiciel malveillant jusqu'ici inconnu. Celui-ci vise des organisations ukrainiennes. C'est la troisième fois en trois semaines. Et il s'agit à nouveau d'un Wiper, c'est-à-dire d'un programme malveillant qui tente d'effacer les données de la victime.

CaddyWiper ne présente aucune similitude de code majeure avec HermeticWiper ou IsaacWiper. Ces deux autres nouveaux programmes malveillants Wiper s'en prennent à des organisations ukrainiennes depuis le 23 février.

Comme dans le cas d'HermeticWiper, les investigations des spécialistes informatiques indiquent que les pirates avaient déjà infiltré les réseaux cibles depuis un certain temps avant de laisser libre cours à leurs logiciels destructeurs.

«WhisperGate»

Type de malware: Wiper
Découverte: le 13 janvier 2022
Système impacté: Windows
Dommages causés: non chiffrés

WhisperGate efface les données. En janvier de cette année, il sévit déjà sur les réseaux de plusieurs organisations ukrainiennes.

Dans la nuit du 13 au 14 janvier, des pirates ont d'abord obtenu l'accès aux sites Web de plus de 70 institutions et autorités gouvernementales.

Les hackers ont utilisé des failles dans les systèmes de gestion de contenu pour accéder aux serveurs hébergeant les sites. Ils ont réussi à défigurer 22 sites et à en endommager 6.

Les assaillants ont également installé un maliciel appelé WhisperGate sur les serveurs et les systèmes informatiques qu'ils avaient déjà compromis des mois auparavant.

Ce malware a deux composants:

  • La première est appelée BootPatch et fonctionne en réécrivant une zone de mémoire de l'ordinateur infecté. Le but est d'empêcher son redémarrage d'afficher à la place une demande de rançon.
  • La deuxième, WhisperKill, a pour but de détruire les fichiers enregistrés en réécrivant leur contenu avec une chaîne de caractères.

Le code du logiciel malveillant contient des indices qui devraient conduire les experts en sécurité informatique sur une fausse piste. Il s'agit d'une opération «false flag»: le but est manifestement de faire porter le chapeau à un groupe pro-ukrainien.

«DoubleZero»

Type de malware: Wiper
Découverte: le 17 mars 2022
Système impacté: .NET-Plattform (Microsoft)
Dommages causés: non chiffrés

La découverte de ce malware destructeur est due à l'«équipe d'intervention d'urgence en informatique» d'Ukraine (CERT-UA). Ces spécialistes en sécurité informatique ont identifié plusieurs archives ZIP envoyées par e-mail aux victimes et contenant un «programme .NET déguisé». Les cibles de l'attaque sont diverses entreprises du pays.

«LoadEdge»

Type de malware: Backdoor / Remote Access Trojaner (RAT)
Découverte: le 18 mars 2022
Système impacté: Windows
Dommages causés: non chiffrés

Un cas rendu public, le 18 mars, montre que les cyberattaques russes présumées ne se limitent pas aux Wipers qui effacent les données. Les spécialistes ukrainiens de la sécurité informatique (CERT-UA) ont signalé des campagnes de phishing contre des organisations ukrainiennes. Des messages électroniques manipulés tentent d'installer le malware LoadEdge sur les ordinateurs des victimes.

Si une «Backdoor» (porte dérobée) existe, le maliciel se connecte à un «serveur de commande et de contrôle» (C2) pour charger d'autres programmes malveillants. Les spécialistes parlent d'un cheval de Troie d'accès à distance (Remote Access Trojan, RAT). En d'autres termes, cela signifie que les pirates ont un accès permanent au système.

Le groupe de hackers InvisiMole serait à l'origine de l'attaque. Selon les rapports, ce groupe est lié au groupe de pirates informatiques d'élite russe Gamaredon/Primitive Bear.

C'est grave à quel point?

Aucune cyberattaque véritablement dévastatrice n'a eu lieu jusqu'à présent. Du moins aucune d'entre elles n'a réussi ou n'a eu de lourdes conséquences contre des infrastructures d'importance telles que l'approvisionnement en électricité.

En raison de la guerre qui fait rage depuis le 24 février, aucune estimation fiable des dommages causés n'est disponible à ce jour. L'Ukraine semble avoir massivement amélioré sa cyberdéfense. En outre, on ne sait pas si et pourquoi les groupes de pirates informatiques d'élite russes se sont actuellement tenus à l'écart.

Les attaques les plus graves des années précédentes:

  • 2017: une attaque avec le malware Wiper NotPetya, la veille d'un jour férié important en Ukraine, a ciblé des institutions publiques et privées du pays, des institutions financières, énergétiques et gouvernementales. En exploitant des exploits dits «zero-day» volés à l'agence de renseignement américaine NSA, le malware s'est propagé dans le monde entier, infectant notamment le système de surveillance des radiations de Tchernobyl et des organisations de santé américaines. A ce jour, NotPetya est considéré comme la «cyberattaque la plus dévastatrice de l'histoire».
  • 2016: une attaque a paralysé le réseau électrique ukrainien pendant des heures dans certaines parties du pays. Les chercheurs en sécurité informatique décrivent le malware utilisé comme étant seulement le deuxième cas connu de code malveillant spécialement conçu pour perturber les systèmes physiques.
  • 2015: une cyberattaque a compromis les systèmes informatiques de trois sociétés de distribution d'énergie dans l'ouest de l'Ukraine. Elle est considérée comme la première cyberattaque connue réussie contre l'approvisionnement en électricité d'un État et est attribuée au groupe de pirates informatiques d'élite russe Sandworm.

Le CyberPeace Institute, une organisation non gouvernementale (ONG), propose une chronologie de toutes les cyberattaques contre des infrastructures critiques et des biens civils.

Sources

«Un complot!» Comment la TV russe parle du massacre de Boutcha

Sur la cyberguerre

Et maintenant, Anonymous déclare une «cyber-guerre» contre le Kremlin

Link zum Artikel

Ukraine: comment la cyber-guerre peut tout faire basculer (en Suisse aussi)

Link zum Artikel

Les données volées à l'Université de Neuchâtel ont été publiées

Link zum Artikel

Le site suisse Comparis à son tour victime d'une cyberattaque

Link zum Artikel
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Aux Etats-Unis, donner des conseils à la Corée du Nord est un délit
Un homme de 39 ans, accusé d'être un pirate informatique, a été condamné mardi à New York à plus de cinq ans de prison pour avoir fourni des conseils financiers à la Corée du Nord afin qu'elle échappe aux sanctions internationales.

Il s'appelle Virgil Griffith. Cet Américain de 39 ans a plaidé «coupable» devant la justice fédérale américaine qui le poursuivait depuis 2019, afin de réduire sa peine encourue qui aurait pu être de 20 années de réclusion criminelle. Il a été condamné à 63 mois de prison, selon un communiqué du procureur du tribunal fédéral de Manhattan.

L’article