Les pirates informatiques d'élite de Poutine, rattachés au service de renseignement militaire GRU, ont essuyé, cette semaine, une défaite qu'ils n'ont pas vue venir. Leur plan d'attaque, préparé avec un grand soin technique, a été déjoué par le FBI.
Par le passé, le groupe «Sandworm» avait piraté des milliers de routeurs via une faille de sécurité non corrigée et les avait ajoutés à une armée d'appareils zombies (contrôlés à l'insu de leur utilisateur). Ce réseau devait très probablement être utilisé pour des attaques destructrices. Mais, pour une fois, les spécialistes informatiques de la défense, en Occident, ont été plus rapides.
En anglais, «Cyclops Blink» signifie littéralement que les cyclopes clignent des yeux. Cette image peut paraître amusante. Mais, dans la réalité, ce nom désigne un outil offensif redoutable. Il s'agit d'une cyberarme de fabrication russe.
Depuis février 2022, nous savons que Cyclops Blink a infiltré des milliers d'appareils réseau des fabricants WatchGuard et Asus. Le malware les a ajoutés à une armée de logiciels contrôlables à distance. Selon les autorités américaines, c'est le groupe de pirates informatiques d'élite Sandworm qui est à l'origine de cette attaque.
Le ministère américain de la Justice a annoncé, mercredi, que le FBI avait réussi à paralyser le botnet. Il a souligné que l'opération avait été autorisée par les tribunaux de Californie et de Pennsylvanie.
Les spécialistes du FBI sont parvenus à copier et à évaluer le logiciel malveillant à partir d'appareils réseau infectés aux Etats-Unis, sans que personne ne le remarque. Ils ont ainsi réussi à couper la connexion avec le serveur de commande et de contrôle.
Les autorités américaines parlent d'un «succès», mais avertissent que les propriétaires d'appareils devraient prendre des mesures pour éviter tout risque de piratage. En d'autres termes, il faut mettre à jour le firmware du routeur de toute urgence.
Selon le ministère américain de la Justice, on peut supposer que Cyclops Blink est le successeur de VPNFilter. Il s'agit d'un botnet découvert en 2018 par des chercheurs en sécurité. Le malware était ensuite devenu la cible d'une opération américaine.
Le 24 février dernier, parallèlement à l'invasion russe, une cyberattaque paralyse des dizaines de milliers de modems haut débit en Ukraine. Le réseau satellite KA-Sat de l'opérateur américain Viasat est concerné.
L'attaque, savamment préparée, vise les terminaux de Skylogic, une filiale d'Eutelsat. Dommage collatéral, le fonctionnement de milliers d'éoliennes en Europe se voit perturbé et la maintenance à distance n'est plus possible.
Comme les experts en sécurité informatique l'ont découvert plus tard, les pirates ont pu s'introduire dans le réseau informatique de Viasat grâce à une application VPN mal configurée. Ils ont ensuite réussi à introduire leur malware «AcidRain» sur les routeurs et les modems via une mise à jour du micrologiciel.
En analysant l'incident, les informaticiens trouvent des parallèles avec des logiciels malveillants plus anciens («VPNFilter»), qui laissent supposer que le groupe russe de pirates d'élite Sandworm en est à l'origine.
La veille de l'invasion de l'Ukraine par les forces russes, un nouveau logiciel malveillant Windows est utilisé contre un certain nombre d'organisations ukrainiennes. Les spécialistes de la société de sécurité informatique Eset lui donnent le nom de «HermeticWiper», basé sur un certificat numérique d'une société chypriote appelée Hermetica Digital Ltd.
Comme il s'est avéré par la suite, ce certificat n'a pas été volé. Selon Reuters, au contraire, il est possible que les pirates se soient fait passer pour des représentants de l'entreprise chypriote afin d'obtenir le document numérique auprès de l'autorité de certification compétente (DigiCert).
Grâce au certificat, le maliciel Windows peut contourner les fonctions de sécurité du système et obtenir l'accès à de nombreuses structures de données sur le disque dur. Dès qu'il reçoit l'ordre d'attaquer, il commence à supprimer des fichiers et à écraser des données afin de rendre toute récupération impossible.
Le malware est composé de trois ingrédients:
Le malware est observé sur des centaines de systèmes informatiques dans au moins cinq organisations ukrainiennes. Les spécialistes de la sécurité d'Eset estiment que les réseaux ont été compromis bien avant l'utilisation de Wiper.
Alors que l'offensive russe pénètre en Ukraine, Wiper s'attaque au réseau gouvernemental ukrainien. Les spécialistes d'Eset baptisent ce malware «IsaacWiper». Ils le décrivent comme bien moins avancé techniquement que HermeticWiper. Mais ici aussi, les utilisateurs touchés perdent leurs fichiers et ne peuvent plus démarrer leur PC, ce qui les oblige à réinstaller le système d'exploitation.
Le 14 mars, les spécialistes d'Eset ont à nouveau détecté un logiciel malveillant jusqu'ici inconnu. Celui-ci vise des organisations ukrainiennes. C'est la troisième fois en trois semaines. Et il s'agit à nouveau d'un Wiper, c'est-à-dire d'un programme malveillant qui tente d'effacer les données de la victime.
CaddyWiper ne présente aucune similitude de code majeure avec HermeticWiper ou IsaacWiper. Ces deux autres nouveaux programmes malveillants Wiper s'en prennent à des organisations ukrainiennes depuis le 23 février.
Comme dans le cas d'HermeticWiper, les investigations des spécialistes informatiques indiquent que les pirates avaient déjà infiltré les réseaux cibles depuis un certain temps avant de laisser libre cours à leurs logiciels destructeurs.
WhisperGate efface les données. En janvier de cette année, il sévit déjà sur les réseaux de plusieurs organisations ukrainiennes.
Dans la nuit du 13 au 14 janvier, des pirates ont d'abord obtenu l'accès aux sites Web de plus de 70 institutions et autorités gouvernementales.
Les hackers ont utilisé des failles dans les systèmes de gestion de contenu pour accéder aux serveurs hébergeant les sites. Ils ont réussi à défigurer 22 sites et à en endommager 6.
Les assaillants ont également installé un maliciel appelé WhisperGate sur les serveurs et les systèmes informatiques qu'ils avaient déjà compromis des mois auparavant.
Ce malware a deux composants:
Le code du logiciel malveillant contient des indices qui devraient conduire les experts en sécurité informatique sur une fausse piste. Il s'agit d'une opération «false flag»: le but est manifestement de faire porter le chapeau à un groupe pro-ukrainien.
La découverte de ce malware destructeur est due à l'«équipe d'intervention d'urgence en informatique» d'Ukraine (CERT-UA). Ces spécialistes en sécurité informatique ont identifié plusieurs archives ZIP envoyées par e-mail aux victimes et contenant un «programme .NET déguisé». Les cibles de l'attaque sont diverses entreprises du pays.
Un cas rendu public, le 18 mars, montre que les cyberattaques russes présumées ne se limitent pas aux Wipers qui effacent les données. Les spécialistes ukrainiens de la sécurité informatique (CERT-UA) ont signalé des campagnes de phishing contre des organisations ukrainiennes. Des messages électroniques manipulés tentent d'installer le malware LoadEdge sur les ordinateurs des victimes.
Si une «Backdoor» (porte dérobée) existe, le maliciel se connecte à un «serveur de commande et de contrôle» (C2) pour charger d'autres programmes malveillants. Les spécialistes parlent d'un cheval de Troie d'accès à distance (Remote Access Trojan, RAT). En d'autres termes, cela signifie que les pirates ont un accès permanent au système.
Le groupe de hackers InvisiMole serait à l'origine de l'attaque. Selon les rapports, ce groupe est lié au groupe de pirates informatiques d'élite russe Gamaredon/Primitive Bear.
Aucune cyberattaque véritablement dévastatrice n'a eu lieu jusqu'à présent. Du moins aucune d'entre elles n'a réussi ou n'a eu de lourdes conséquences contre des infrastructures d'importance telles que l'approvisionnement en électricité.
En raison de la guerre qui fait rage depuis le 24 février, aucune estimation fiable des dommages causés n'est disponible à ce jour. L'Ukraine semble avoir massivement amélioré sa cyberdéfense. En outre, on ne sait pas si et pourquoi les groupes de pirates informatiques d'élite russes se sont actuellement tenus à l'écart.
Les attaques les plus graves des années précédentes:
Le CyberPeace Institute, une organisation non gouvernementale (ONG), propose une chronologie de toutes les cyberattaques contre des infrastructures critiques et des biens civils.
