Faut-il se préparer à une escalade du conflit ukrainien ?

Guerre asymétrique et conséquences

Gageons que les tensions géopolitiques resteront à un niveau élevé pendant un certain temps, que les pays dont les gouvernements soutiennent activement l’Ukraine, ou la Russie, seront la cible de cyberattaques. À mesure que la liste des sanctions s’allonge, elle augmente d’autant le spectre de représailles. Mais au-delà des représailles, les cyberattaques peuvent déborder de leur périmètre initial. S’il est impossible de dire aujourd’hui si NotPetya est devenue hors de contrôle ou si son déploiement mondial était orchestré, lorsqu’elle a franchi les limites de son territoire géographique initial, ses impacts furent colossaux. Cette propagation fut rendue possible par l’utilisation conjointe d’une faille et d’une attaque par supplychain. L’utilisation de tiers pour atteindre des cibles de choix est une pratique commune pour des groupes d’attaquants perfectionnés. On garde en mémoire les récentes compromissions d’outils d’administration telles que SolarWinds, Orion, Kaseya Virtual System Administrator ou Centreon.

Plusieurs équipes nationales de cybersécurité, comme l’ANSSI ou le National Cyber Security Centre au Royaume-Uni, ont émis des avertissements et des conseils, pour faire face à une recrudescence éventuelle de cybermenaces. Ces conseils doivent dépasser les frontières de leurs pays émetteurs et être considérés comme essentiels pour protéger et atténuer à la fois les risques comme les impacts. L’objectif est d’augmenter le niveau de protection de toutes les entreprises, surtout celles dont la maturité cyber est faible, ou qui considèrent être éloignées du jeu géopolitique et deviennent de fait des cibles faciles.

Acteurs APT en activité depuis le début du conflit

Depuis au moins 2014, les infrastructures critiques, le secteur public ainsi que les entreprises sont régulièrement la cible d’attaques avancées en Ukraine. Pour la valeur symbolique qu’elles représentent autant que pour les effets de déstabilisation obtenus. Ces objectifs multiples vont de la récolte d’information et de l’espionnage au sabotage pur et simple. Les méthodes sont conformes à celles de groupes APT et les cibles sont diversifiées, non seulement étatiques, mais aussi privées. L’une d’entre elle reste un cas d’école industroyer. Cette attaque combine à la fois les caractéristiques d’une attaque APT, un arsenal complet, une opération préparée, silencieuse et persistante, ainsi que la maitrise du langage de pilotage d’équipements industriels tels des disjoncteurs.

Sabotage par effacement de données, les récentes attaques plus radicales

Quatre attaques ont la particularité de partager un même objectif : la destruction logique des machinées ciblées. Succédant au logiciel malveillant nommé WhisperGate et apparu en janvier 2022, analysons en détails trois campagnes supplémentaires déclenchées à partir du 23 février 2022.

La première est nommée HermeticWiper, elle se décline en 3 composants, le Wiper (efface les données des machines), l’outil de déploiement (HermeticWizard) et un rançongiciel leurre (HermeticRanson). À ce stade, nous n’avons trouvé aucun lien tangible avec un mode opératoire connu. HermeticWiper, HermeticWizard et HermeticRansom ne présentent aucune similitude de code significative avec d’autres logiciels malveillants de notre collection (plus de 3 peta). HermeticWiper et HermeticWizard sont signés par un certificat attribué à Hermetica Digital Ltd et émis le 13 avril 2021. Selon un rapport de Reuters, il semble que ce certificat n’ait pas été volé à Hermetic Digital. Nous pouvons penser que les attaquants se soient fait passer pour un entreprise chypriote afin d’obtenir ce certificat de manière légitime. Ainsi estimons, avec un haut degré de certitude, que les organisations touchées ont été compromises bien avant le déploiement du Wiper. Ceci est basé sur plusieurs faits :

• Les horodatages de compilation de HermeticWiper PE, le plus ancien date du 28 décembre 2021,
• La date d’émission du certificat de signature du code est le 13 avril 2021,
• Le déploiement de HermeticWiper par GPO (opération manuelle) dans au moins un cas suggère que les attaquants avaient un accès préalable à l’un des serveurs Active Directory de cette victime.

La seconde campagne s’appuie sur IsaacWiper, apparu dans notre télémétrie le 24 février 2022. L’horodatage de compilation le plus ancien que nous ayons trouvé remonte au 19 octobre 2021. Si celui-ci n’a pas été altéré, IsaacWiper pourrait avoir été utilisé dans des opérations précédentes plusieurs mois auparavant. Il n’a aucune similitude de code avec HermeticWiper et est beaucoup moins sophistiqué. Compte tenu de la chronologie, il est possible que les deux soient liés mais nous n’avons pas encore trouvé de lien fort.

La troisième campagne menée est nommée CaddyWiper. Ce logiciel malveillant a été détecté pour la première fois à 11h38, heure locale, lundi 14 mars 2022. Le Wiper a été repéré sur plusieurs dizaines de systèmes dans un nombre limité d’organisations. Son analyse est toujours en cours.

Lancées très proches les unes des autres, ces campagnes de sabotage par effacement de données n’ont pas de similarités de code avérées, ni ne sont imputables à un mode opératoire ; à ce jour. Elles viennent s’ajouter à la longue liste d’attaques que subit le territoire ukrainien depuis au moins 2014, avec la particularité de chercher à détruire et rendre inopérantes leurs cibles, laissant de côté les motivations financières des rançongiciels de ces dernières années.

Se préparer aux cyberattaques, encore, sensibiliser toujours

Subir une cyberattaque est très stressant et déroutant, pour l’entreprise comme pour les individus qui la composent. Se protéger, c’est arpenter un chemin long et parsemé d’embuches, qui nécessite d’emmener tous les acteurs ayant accès aux outils numériques. Sur ce chemin, nous rencontrons des individus qui ont déjà effectué des mises à jour ; les cyber escrocs. Vous ne verrez plus de messages surfant sur le thème du COVID ou la vente de masques tenter de passer les filtres anti-spam. Une crise en chassant une autre, les sites de soutien aux victimes du conflit fleurissent et recherchent de généreux donateurs. Le nombre de dépôts de nom de domaine contenant « Ukraine » est en forte hausse, leurs sites affichant des images jouant sur nos émotions pour nous convaincre d’aider les victimes. D’autres stratagèmes diffusés, eux aussi, via les media sociaux cherchent à nous soutirer des crypto monnaies. Tant que la crise fera la une des journaux dans le monde entier, les escrocs continueront à chercher des moyens d’exploiter la misère des personnes touchées par la guerre à leur profit. Le pire, c’est que tomber dans le piège d’une escroquerie caritative ne vous affecte pas seulement vous, mais aussi les destinataires de l’aide, ce qui rend ce type de fraude d’autant plus déplorable.

Pour autant, l’entraide existe et est une réalité. De nombreuses entreprises apportent leur soutien aux populations et les entreprises du monde de la cyber sécurité et de l’IT se mobilisent. Nous avons décidé de publier au maximum nos recherches en sources ouvertes, afin qu’elles puissent profiter au plus grand nombre. Les marqueurs sont disponibles dans nos livres blancs et sur notre GitHub https://github.com/eset/malware-ioc/search?q=ukraine. Ces éléments sont actionnables immédiatement, sous la forme d’indicateurs ou de règles YARA, pour se protéger ou rechercher les traces des menaces au sein de nos systèmes d’information.