Guerre en Ukraine : impact des cyberattaques et conseils aux RSSI
Le conflit Ukrainien entraîne de nombreux défis humanitaires et sécuritaires. Mais quelles sont les principales tactiques des cyberhackers et comment se tenir prêt à lutter contre ces menaces ?
En raison de la situation actuelle en Ukraine, de nombreuses cybermenaces visent ceux qui soutiennent les sanctions contre la Russie, les domaines stratégiques occidentaux ou les organisations ukrainiennes.
À ce jour, les cyberhackers utilisent trois tactiques principales : les attaques par déni de service distribué (DDoS), le défacement de sites web (attaque qui consiste à hacker un site web de manière à modifier des pages, le plus souvent la page d'accueil) et l’utilisation de wipers. Bien que ces techniques soient considérées comme simples, leur combinaison peut être extrêmement nocive. Elles limitent la disponibilité des informations et des services officiels, de manière temporaire, voire permanente.
Attaques par déni de service
Dès le début de l'invasion, des sites web gouvernementaux ukrainiens - ministère des Affaires étrangères, ministère de la Défense, ministère des Affaires intérieures et Service de sécurité de l'Ukraine - ont été mis hors ligne par des attaques de typer DDoS. Le secteur financier ukrainien a également connu une interruption de service. Le gouvernement britannique a attribué ces événements à la Direction Générale des Renseignements Russe (GRU).
HeremeticWiper
Le 23 février dernier, alors que l'invasion des Russes en Ukraine avait déjà commencé, des chercheurs ont découvert que les organisations ukrainiennes étaient visées par un wiper surnommé HermeticWiper, en référence au certificat numérique utilisé pour signer l'échantillon. Ce malware - qui semble être une application personnalisée avec très peu de fonctions standard - exploite le pilote EaseUS pour accéder directement aux disques physiques et obtenir des informations sur les partitions.
HermeticWiper corrompt les 512 premiers octets, le Master Boot Record (MBR), de chaque disque physique. Alors que cela devrait suffire à empêcher un périphérique de redémarrer, HermeticWiper passe en revue et détériore les partitions de tous les disques disponibles. Le malware est également capable de faire la différence entre les partitions FAT et NTFS et d'agir en conséquence pour causer le plus de dommages possibles. Dévastateur, il finit par provoquer l'arrêt total du système.
HermeticWiper est un outil autonome qui agit seul une fois qu’il a pénétré dans le système. Normalement, les attaquants doivent trouver un accès pour déployer l’attaque wiper. Précédemment, ils y parvenaient via GPO, en installant une tâche planifiée pour exécuter le wiper ainsi qu'un ransomware (qui s’avèrait être un leurre).
Mais HermeticWiper est beaucoup plus complet, mieux développé et plus efficace que WhisperGate, un wiper déployé en Ukraine en janvier dernier avec une propagation très limitée. Pour l'instant, ces deux menaces semblent être distinctes car probablement créées par des développeurs différents.
Ransomware PartyTicket
PartyTicket est le nom donné à un variant d’HermeticWiper. Ce malware a infecté ses cibles en même temps qu’HermeticWiper et il sert apparemment de leurre pendant que les données des appareils sont effacées. PartyTicket est une application Golang personnalisée qui perturbe les services et distrait les défenseurs. Il est incroyablement bruyant et génère un nombre incalculable de communications, ce qui entraîne probablement un déni de service pas forcément voulu. Les lignes de code de ce programme sont truffées de références ironiques sur les Etats-Unis.
Recommandations pour les RSSI et DSI
Alors que les menaces ont été largement contenues en Ukraine, la montée des tensions géopolitiques et des sanctions va probablement augmenter le nombre d’attaques contre l’Occident. Conformément au récent avis de la CISA (entité dépendant de la American National Standards Institute), il est vivement recommandé aux organisations de renforcer leur politique de sécurité et de prendre des mesures proactives :
- Veiller à ce que tous les réseaux et endpoints soient protégés par une solution de sécurité avancée capable de prévenir, de détecter et de répondre aux attaques connues ou non, mais aussi de rétablir les dispositifs en cas d'attaque,
- S’assurer que les équipes SOC et IT sont à jour avec les dernières informations sur les menaces concernant les cyberattaques en Ukraine,
- Surveiller les avis gouvernementaux tels que l’ANSSI,
- Désigner une équipe de réponse dédiée avec des points de contact actualisés en cas d'incident de cybersécurité,
- Vérifier qu’une cyberassurance existe, en connaitre la couverture et savoir comment activer les services de réponse aux incidents,
- Organiser des exercices de crise pour s’assurer que chacun comprend bien son rôle et ses responsabilités, ainsi que les mesures à prendre et le moment où elles doivent être prises,
- Envisager tous les scénarios catastrophes et s’assurer qu'un plan de continuité des activités est mis en place.
Si le cyberespace fait désormais partie intégrante de nos vies, il est également devenu un aspect essentiel des conflits géopolitiques. Les capacités offensives étant plus nombreuses, elles sont utilisées par les gouvernements à des fins de surveillance et de désinformation. Au milieu d'une guerre physique, la cybernétique est devenue une arme indispensable pour paralyser les systèmes de défense, créer le chaos et atteindre une population sous pression.
À mesure que la situation évolue, la plupart des fournisseurs de solutions de cybersécurité continuent d'apporter leur soutien à ceux qui en ont besoin en partageant leurs recherches, recommandations, indicateurs et outils pour rester au fait de l'évolution du paysage des menaces.