L'Ukraine essuie une nouvelle salve de logiciels malveillants qui serait le fruit du groupe Sandworm, connu pour être soutenu par l'État russe.
Si ces derniers mois l'Ukraine a prouvé sa capacité de résilience face à la menace cyber provenant de la Russie, le pays est néanmoins frappé par une nouvelle vague de malwares qui met sa défense à rude épreuve. Le CERT (les équipes d'intervention d'urgence cyber) ukrainien, ou CERT-UA, fait état de cinq « wipers » (essuie-glace en français) qui, par définition, sont assez redoutables, puisque déployés dans le but de détruire les données et contenus du disque dur installé sur la machine infectée. Le tout, sans que l'utilisateur ne puisse s'y opposer.
Une cyberattaque perpétrée par un groupe affilié à la Russie, qui s'en prend depuis de nombreuses années à l'Ukraine
Les cinq malwares découverts par le CERT-UA sont entrés dans les machines de l'agence de presse nationale ukrainienne Ukrinform le 7 décembre 2022, très exactement. Si l'unité cyber du pays se charge de ce dossier, c'est parce qu'une cyberattaque a été perpétrée le 17 janvier. Les pirates ont donc attendu plus d'un mois avant de lancer sur Ukrinform la phase finale de leur attaque.
Selon les premiers résultats de l'enquête, le groupe UAC-0082 serait à l'origine de cette cyberattaque. Ce dernier est plus connu sous le nom de Sandworm (ver des sables), un groupe APT spécialisé dans les attaques sournoises destinées à l'espionnage et au vol de données, qui s'en prend régulièrement à l'Ukraine et dont on connaît l'affiliation au Kremlin.
Un destructeur de données qui passe outre toutes les sécurités
Pour parvenir à leurs fins, les pirates sont parvenus à contourner les sécurités censées empêcher toute tentative de suppression de données sans autorisation. Certains wipers peuvent même contourner et écraser le Master Boot Record (MBR), ce premier secteur adressable d'un disque dur contenant la table des partitions du disque et aidant au lancement du système d'exploitation lors du démarrage de la machine. Les wipers peuvent aussi mettre à mal les capacités de restauration à partir de sauvegardes des victimes.
L'effaceur de données utilisé par Sandworm semble être des plus efficaces, selon les spécialistes cyber. Il est d'ailleurs coutumier du fait, car il a, en effet, déjà ciblé diverses entreprises et agences gouvernementales ukrainiennes.
Le groupe serait même à l'origine de la destruction de réseaux entiers et du déclenchement de pannes géantes, comme celle qui toucha le réseau électrique du pays, ou le malware de sabotage NotPetya, qui frappa l'Ukraine dès 2017 avant de se propager dans le reste du monde.
Source : Malwarebytes