Le cyberespace ressent la pression de l’invasion meurtrière de l’Ukraine par la Russie : plusieurs sites liés au Kremlin et à ses alliés en Biélorussie ont été indisponibles pour l’ensemble ou du moins pour la majeure partie d’Internet ces derniers jours.
Les pannes ont commencé la semaine dernière avec la dégradation de sites Web russes et se sont accélérées au cours du week-end, à la suite d’une appel du vice-premier ministre ukrainien pour la formation d’une «armée informatique» pour cibler les intérêts russes.
Un appel aux armes
« Il y aura des tâches pour tout le monde », a écrit le vice-Premier ministre Mykhailo Fedorov. « Nous continuons à nous battre sur le cyber front. La première tâche est sur le canal des cyberspécialistes.
Nous créons une armée informatique. Nous avons besoin de talents numériques. Toutes les tâches opérationnelles seront données ici : https://t.co/Ie4ESfxoSn. Il y aura des tâches pour tout le monde. Nous continuons à nous battre sur le front cybernétique. La première tâche est sur le canal pour les cyberspécialistes.
— Mykhailo Fedorov (@FedorovMykhailo) 26 février 2022
La liste des tâches comprenait 31 organisations affiliées au Kremlin, aux banques et sociétés russes et à la Biélorussie. Les cibles incluent également les agences gouvernementales russes, les adresses IP gouvernementales, les périphériques de stockage et les serveurs de messagerie gouvernementaux, ainsi que la prise en charge des infrastructures critiques. Pendant un certain temps, le populaire moteur de recherche et portail de messagerie russe, Yandex, a également été rendu indisponible.
Les sites Web de nombreuses organisations répertoriées – y compris les banques (Gazprombank), les entreprises (Sberbank), les sociétés (Russian Copper Company et Lukoil) et les sites Web gouvernementaux (Moscow State Services et le ministère de la Défense) – n’étaient pas disponibles au moment de la publication de ce message. habitent.
La cyberpolice d’Ukraine, quant à elle, a rapporté dimanche que les services informatiques travaillant pour le compte du pays avaient réussi à empêcher les internautes d’accéder à une multitude de sites russes de premier plan.
Actuellement en panne
« Les cyberspécialistes mènent des cyberattaques massives sur les ressources Web de la Russie et de la Biélorussie », indique le message. « Le site Web du Comité d’enquête de la Fédération de Russie, du FSB de la Fédération de Russie, de la Sberbank et d’autres systèmes d’information gouvernementaux et critiques importants pour la Fédération de Russie et la Biélorussie sont actuellement en panne. »
Le message indiquait que les sites supprimés comprenaient les éléments suivants, qui étaient tous inaccessibles au moment de la mise en ligne de ce message :
- sberbank.ru
- vsrf.ru
- scrf.gov.ru
- kremlin.ru
- radiobelarus.by
- rec.gov.by
- qqn par
- biélorussie.by
- ceinture.by
- tvr.by
Lundi, le trafic Internet en provenance de l’extérieur de la Russie a été complètement bloqué pour accéder au site du portail e-gouvernement de la Russie. Comme c’est noté par Doug Madory, directeur de l’analyse Internet pour la société d’analyse de réseau Kentik, le plus grand fournisseur Internet de Russie, Rostelecom, a cessé d’annoncer les routes BGP pour que le portail contienne un barrage ininterrompu de trafic indésirable qui l’inondait.
En conséquence, le site n’était pas accessible à tous ceux qui utilisaient des adresses IP attribuées en dehors de la Russie. Les exceptions incluent les points de présence Azure de Microsoft.
« Ce site est probablement principalement utilisé au niveau national, donc ce n’est probablement pas grave que les étrangers ne puissent pas y accéder », a déclaré Madory dans un chat. « Cependant, il est prouvé que RU prend des mesures défensives contre les attaques contre les sites gouvernementaux. »
Selon un article publié sur Facebook par la société énergétique russe Rosseti, les bornes de recharge de véhicules électriques en Russie ont cessé de fonctionner lorsque la société ukrainienne qui fournissait des pièces pour les stations les a piratées en utilisant une porte dérobée dans les systèmes de contrôle des chargeurs. Au lieu de recharger les véhicules, les stations affichaient un message qui disait entre autres : « GLOIRE À L’UKRAINE / GLOIRE AUX HÉROS / POUTINE EST UNE TÊTE DE CONTE / MORT À L’ENNEMI ».
Alors qu’une grande partie de l’attention s’est concentrée sur l’utilisation par l’Ukraine des attaques DDoS pour perturber ou bloquer carrément les sites russes, la petite nation a également été victime de piratage malveillant. La semaine dernière, des chercheurs de la société de sécurité ESET mentionné ses chercheurs ont découvert des logiciels malveillants d’effacement de données inédits installés sur des centaines d’ordinateurs en Ukraine.
Rupture. #ESETRecherche a découvert un nouveau logiciel malveillant d’effacement de données utilisé en Ukraine aujourd’hui. La télémétrie ESET montre qu’elle a été installée sur des centaines de machines dans le pays. Cela fait suite aux attaques DDoS contre plusieurs sites Web ukrainiens plus tôt dans la journée 1/n
— Recherche ESET (@ESETresearch) 23 février 2022
Les chercheurs de Symantec ont rapidement confirmé les résultats. Eux aussi avaient trouvé des logiciels malveillants ciblant des banques et des organisations dans les secteurs ukrainiens de la défense, de l’aviation et des services informatiques.
Une analyse technique de Juan Andrés Guerrero-Saade, chercheur principal sur les menaces chez SentinelOne, a déclaré qu’HermeticWiper, comme le nouveau malware a été nommé, suit une « technique éprouvée » consistant à abuser d’un pilote de gestion de partition bénin pour détruire définitivement les données stockées sur les disques durs. .
Deux essuie-glaces précédents – Destover du groupe nord-coréen Lazarus et Shamoon d’un groupe connu sous le nom d’APT33 – ont abusé du pilote Eldos Rawdisk pour obtenir un accès direct au système de fichiers sans appeler les API Windows. Guerrero-Saade a déclaré qu’HermeticWiper utilise une technique similaire en abusant d’un pilote différent, empntdrv.sys.
La semaine dernière, des chercheurs en sécurité ont déclaré que le groupe de piratage informatique le plus féroce de Russie avait déployé de nouveaux logiciels malveillants pour infecter les périphériques réseau afin qu’ils puissent être utilisés pour voler des mots de passe et d’autres données sensibles ou comme proxy pour dissimuler des cyberattaques sur d’autres organisations. Les sites Web ukrainiens ont également été rendus inaccessibles lors d’attaques DDoS.
Les pirates informatiques travaillant pour le compte du gouvernement russe ont été à l’origine d’attaques hautement destructrices dans le passé, la plus connue étant les attaques d’essuie-glace NotPetya qui ont causé 10 milliards de dollars de pertes à des entreprises du monde entier. Les pirates informatiques russes ont également coupé le réseau électrique ukrainien non pas une mais deux fois.