Une attaque informatique majeure a une nouvelle fois frappé l'Ukraine il y a quelques jours. Selon Microsoft, qui mène une veille à ce sujet, ce n'est pas l'argent qui intéresse les auteurs, mais bien le fonctionnement de la structure informatique du gouvernement.
Après la cyberattaque d'ampleur qui a frappé de nombreux sites gouvernementaux ukrainiens, les rendant inaccessibles et faisant apparaître des messages plutôt intimidants sur des divulgations de données, l'heure est aux investigations. Et Microsoft, via son centre de renseignement sur les menaces (MSTIC), a livré ce week-end ses premiers résultats. Et le moins que l'on puisse dire, c'est qu'ils ne sont pas très rassurants.
Une cyberattaque faussement déguisée en rançongiciel
Dans un billet de blog, Microsoft indique avoir identifié une activité d'intrusion inquiétante provenant d'Ukraine, le 13 janvier. L'entreprise précise avoir alors découvert une fonctionnalité malveillante unique, utilisée dans des attaques par intrusion contre plusieurs organisations victimes, dans le pays.
Dans un premier temps, le logiciel malveillant utilise un exécutant qui est généralement employé par les hackers pour le mouvement latéral et l'exécution. D'abord, le malware écrase le Master Boot Record (MBR), qui est le premier secteur adressable d'un disque dur, connu pour contenir la table des partitions du disque et pour aider au lancement du système d'exploitation lors du démarrage de l'ordinateur. Cette étape, qui permet de corrompre le disque dur, s'accompagne ici d'une note de rançon, qui comporte un portefeuille Bitcoin et un identifiant Tox qui n'ont en revanche jamais été observés par Microsoft par le passé.
Mais le côté pernicieux de la chose, c'est qu'en réalité, ce qui semble être un ransomware n'est qu'une ruse, car le logiciel malveillant vient en fait détruire le MBR et tous les fichiers ciblés. Le malware n'a en l'occurrence aucun mécanisme de récupération de la rançon. Son unique but est alors de détruire et de rendre inopérants les sites visés. « Le logiciel malveillant (…), conçu pour ressembler à un logiciel de rançon mais dépourvu de mécanisme de récupération de rançon, est destiné à être destructeur et est conçu pour rendre les appareils ciblés inopérants, plutôt que d'obtenir une rançon », explique clairement Microsoft.
Une volonté de faire tomber les systèmes gouvernementaux, dont le nombre de sites visés serait plus important qu'à l'origine
Allant un peu plus loin dans son analyse, Microsoft, qui ne fait pas de référence à la Russie (qui serait à l'origine de l'attaque même si aucune preuve ne le confirme à ce stade), dit être « conscient des événements géopolitiques en cours en Ukraine », et indique ne pas avoir trouvé de lien entre l'attaque observée et un groupe de cybercriminels connu. Donc à l'heure actuelle, le groupe et le pays d'origine de l'attaque informatique demeurent inconnus. Mais l'ampleur de la cyberattaque serait bien plus grande qu'imaginée à l'origine.
« Nos équipes d'enquête ont identifié le malware sur des dizaines de systèmes touchés et ce nombre pourrait augmenter à mesure que notre enquête se poursuit », ajoute la firme américaine.
Elle évoque des systèmes aujourd'hui touchés qui couvrent un large scope d'organisations gouvernementales à but non lucratif et d'organisations œuvrant dans le secteur des TIC, toutes basées en Ukraine. Mais l'équipe de recherche de Microsoft confirme bien que l'impact doit être plus important qu'on ne le pensait initialement.
Source : Microsoft
