Les spécialistes de la cybersécurité du globe ont identifié des malwares qui perturbent les infrastructures ukrainiennes et prouvent une fois de plus que la guerre entre l'Ukraine et la Russie, qui suscite la crainte d'une cyberguerre mondiale, ne se joue pas que sur les voies terrestres ou aériennes.
Ces dernières heures, plusieurs nouveaux échantillons de malwares ou logiciels malveillants, parmi lesquels Cyclops Blink et HermeticWiper, ont été repérés. Ils ont pour point commun le fait qu'ils s'attaquent aux appareils d'organisations et infrastructures installées en Ukraine, en exfiltrant et en compromettant les données des PC sur lesquels ils parviennent à s'insérer.
Cyclops Blink, le botnet qui exfiltre les données et bloque les pare-feu
Le premier, Cyclops Blink, a été utilisé contre plusieurs cibles en Ukraine, aussi bien des réseaux que des appareils. Les autorités soupçonnent la Russie d'en être utilisatrice, mais cela pourrait très bien être le fait de patriotes pro-russes qui agiraient de leur propre gré. Nul ne le sait à ce stade. Derrière le botnet, on retrouverait le groupe Sandworm, connu pour ses liens étroits avec le Kremlin, qui a toujours nié être à la manœuvre.
Ces informations sont connues grâce à la transparence de la société américaine WatchGuard, qui fournit des solutions de sécurité et dont les appareils sont ciblés par ce malware. Visiblement, celui-ci est particulièrement robuste, puisqu'il résiste à certaines mesures comme l'arrêt et le redémarrage des systèmes touchés, outre le blocage des pare-feu. Cyclops Blink toucherait 1 % des appliances de pare-feu WatchGuard, et aucun autre produit de la marque n'est touché.
Cyclops Blink est capable de télécharger des fichiers vers et depuis son serveur de commande, et de contrôler, collecter et exfiltrer les informations de l'appareil. Une infection au malware ne signifie pas qu'une organisation est la cible principale, mais ses PC peuvent très bien être utilisés pour mener des attaques contre d'autres par la suite. WatchGuard réclame, dans tous les cas, d'opérer une déconnexion et de mettre à jour tous les appareils concernés, la faille ayant été mise à jour il y a plusieurs mois de cela.
HermeticWiper, redoutable malware capable de supprimer toutes les données des ordinateurs
Mercredi, la communauté du renseignement sur les menaces a détecté un nouvel échantillon du malware HermeticWiper, notamment repéré par ESET Research et Symantec. Le malware est doté d'une technique d'effacement des données, exploitée grâce à l'abus d'un pilote pourtant bénin, EaseUS. Les hackers se servent de lui pour accéder aux disques physiques et corrompre les données.
Le logiciel malveillant cible directement les appareils Windows et manipule ensuite le MBR (master boot record) à sa guise, ce petit secteur du disque dur qui permet à l'ordinateur de démarrer son système d'exploitation. En le manipulant, les pirates parviennent à mettre en échec le démarrage du système. Tout porte à croire que les pirates ont eu accès au réseau avant d'injecter le malware, puisque celui-ci a été compilé en décembre 2021 pour la première fois.
L'Ukraine essuie, depuis plusieurs mois, des milliers d'attaques informatiques et de potentielles incursions. Divers sites web officiels et surtout gouvernementaux ont été piratés, perturbés et/ou mis hors ligne depuis le début de l'année. Ces derniers jours, des attaques DDoS (attaques par déni de service distribué) ont été lancées en nombre, pour mettre à mal les institutions et le secteur bancaire de l'Ukraine. Le ransomware NotPetya avait déjà provoqué de lourds dégâts ces dernières années.
Le pays n'est toutefois pas sans solution et tente de renforcer ses défenses en ligne. Une équipe de cyberintervention rapide, composée d'experts néerlandais, polonais, croates, roumains ou encore estoniens, est mobilisée pour l'aider en ce sens.
Sources : WatchGuard , SentinelLaBS
