L’invasion de l’Ukraine est le premier conflit d’une telle ampleur dont le théâtre est également le cybermonde. Qu’est-ce que cela signifie pour la cyber-sécurité et que faut-il en attendre?
“L’invasion de l’Ukraine s’accompagne de toute une série de cyberattaques”, écrivions-nous en février. Celles-ci visent surtout à soutenir les troupes russes sur le terrain, mais de telles cyberattaques ne sont pas une tendance nouvelle dans le pays, fait remarquer RobertLipovsky, chercheur senior en maliciels pour l’entreprise slovaque ESET, une société spécialisée en sécurité qui suit depuis plusieurs années la situation en Europe de l’Est. “Les cyber- attaques n’ont pas commencé avec l’invasion. Les premières véritables tentatives sont apparues à la fin de 2013 et au début de 2014, lorsque la guerre en Crimée a éclaté.” Mais ce qui a changé depuis février, c’est le type d’attaques.
Depuis le début de l’invasion en effet, ESET constate l’apparition de vagues importantes de ‘wiper malware’. Il s’agit d’un logiciel dont la mission principale consiste à effacer des données et à provoquer ainsi des dégâts importants aux systèmes qu’il infecte. Bon nombre de ces ‘wipers’ sont associés à Sandworm, un groupe d’APT ou ‘advanced persistent threat’. Dans le jargon de la sécurité, il s’agit d’une organisation professionnelle dangereuse, en l’occurrence rattachée au GRU, les services secrets militaires russes. “Ils ont une prédilection pour les attaques destructives, utilisant notamment des ‘wipers’ sous toutes leurs formes”, explique Lipovsky.
Black-out
Une attaque de ce type recensée voici quelque temps déjà utilisait BlackEnergy, un maliciel qui avait finalement provoqué en 2015 un black-out dans plusieurs parties importantes de l’Ukraine. “BlackEnergy disposait de ‘plug-ins’ capables d’effacer un disque dur avant d’installer des composantes que nous avons baptisées Killdisk. Il s’agissait également d’un ‘wuper’. Par ailleurs, on a constaté d’autres attaques sur le réseau électrique, notamment avec Industroyer.” Industroyer est d’ailleurs le maliciel qui a coupé l’éclairage à Kiev le soir de Noël 2016.
Si les ‘wipers’ existent depuis un certain temps déjà, mais étaient devenus relativement rares ces 8 dernières années et utilisés en alternance pour des attaques plus sournoises, surtout pour de l’espionnage ou des préparations d’attaques, les choses ont changé depuis février, estime Lipovsky. “Désormais, ces ‘wipers’ sont utilisés de manière beaucoup plus intensive. Il en existe de plusieurs types dont HermeticWiper, IsaacWiper et CaddyWiper. Et ceux-ci ne sont plus utilisés à un seul endroit, mais sur plusieurs campagnes.”
Rançongiciels
Autre phénomène inquiétant depuis février: les attaques ne sont plus cachées. Autrefois, une attaque était dissimulée derrière un faux rançongiciel et la rançon était davantage une diversion par rapport à un objectif précis: la destruction de données ou l’espionnage. “NotPetya en est la parfaite illustration, mais il ne s’agit pas d’une exception, poursuit Lipovsky. La motivation n’est en l’occurrence pas l’argent.”
NotPetya est un rançongiciel connu depuis 2017 qui se diffuse via un logiciel comptable pour finalement paralyser de nombreuses entreprises, dont la logistique du géant Maersk. Au niveau des attaques spécifiquement contre l’Ukraine, l’objectif était-il de se répande plus largement? “C’est bien possible, considère Lipovsky. Pour NotPetya, c’était sans doute un effet secondaire non voulu. Mais dans certains cas, on remarque des campagnes ciblées contre par exemple des ambassades, des diplomates ou des entreprises qui ont une valeur importante pour un Etat-nation.”
Une telle attaque extrêmement ciblée a été perpétrée en 2014 à l’aide du Sandworm évoqué plus avant. “En l’occurrence, le groupe a envoyé une présentation PowerPoint sur la situation au Donbas pour attirer des victimes, ce qui était quelque peu sarcastique. Il s’agissait d’une prétendue liste de noms de séparatistes à l’est du pays et, selon le courriel d’hameçonnage, les parlementaires devaient vérifier si leur personnel figurait sur cette liste.” La campagne de ‘spearphishing’ retenait l’attention dans la mesure où à l’époque, une vulnérabilité ‘zero day’ était exploitée dans Microsoft PowerPoint. Les victimes qui avaient ouvert la présentation ont été infectées par un bug qui n’était pas encore détecté par les logiciels de sécurité. “Les ‘zero days’ sont rares, mais sont le signe que quelque chose de grave va se produire.” Le bogue a ensuite été très vite corrigé par Microsoft une fois que l’attaque a été rendue publique.
Gamaredon
Dans le cas de l’attaque PowerPoint, il s’agissait d’une campagne visant spécifiquement les parlementaires d’Ukraine. Mais comme c’est le cas pour des criminels financièrement motivés, la cible est parfois ce que l’on peut toucher. “Ces groupes ont des objectifs et des cibles bien précises, mais ils essayeront aussi d’atteindre une cible susceptible d’avoir ultérieurement une valeur stratégique ou de s’y préparer. Et parfois, c’est un compromis et ils pénètrent au sein d’une organisation qu’ils n’avaient pas spécialement recherchée”, note encore Lipovsky.
Et de citer l’exemple de Gamaredon, un groupe affilié au FSB, les services secrets civils russes. Il s’agit du groupe APT russe le plus actif ciblant l’Ukraine. “Il n’est pas aussi sophistiqué que Sandworm, mais est nettement plus actif en termes de volumes. Ils provoquent énormément d’attaques, mais une petite partie d’entre eux sont de véritables maliciels ciblés. Nous pensons qu’il s’agit d’un ‘initial access group’ qui tente de pénétrer n’importe quelle organisation avant de choisir les cibles qui leur semblent intéressantes et de les transférer à d’autres.”
Cyberguerre
Reste à savoir s’il s’agit ici vraiment de cyberguerre. “Quoi qu’il en soit, nous n’avions encore jamais vu un conflit d’une telle ampleur. Les cyberattaques contre l’Ukraine sont du jamais vu, prétend Lypovsky. Ces attaques sont menées en parallèle aux affrontements entre l’Ukraine et la Russie où il y a toujours eu une composante cyber importante.”
Est-ce toujours le cas? “Je ne pense pas qu’une issue rapide est en vue, conclut Lipovsky. Il faudra évidemment voir comment les combats vont se poursuivre, mais cela devrait durer un certain temps encore. Peut-être pas avec la même intensité que ces derniers mois, mais plutôt comme ces 8 dernières années, avec des attaques disruptives occasionnelles et des tentatives d’espionnage plus fréquentes. La spécificité d’une cyberattaque est qu’elle n’est pas facilement détectable. Il est impossible de prouver qui est derrière ce type d’attaque et celle-ci ne se produit pas uniquement en temps de guerre, mais aussi de paix. Nous sommes persuadés que ce type d’activité ne disparaîtra pas de sitôt.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici