Ukraine : une attaque de faible intensité qui en cachait une autre

En fin de semaine dernière, de nombreux sites Web gouvernementaux ukrainiens ont été défigurés. Kiev a attribué cette opération au groupe venu de Biélorussie UNC1511. Les chercheurs de Mandiant avaient, à l’automne dernier, attribué la campagne de désinformation Ghostwriter à ce groupe. Celle-ci avait visé la Lituanie, la Lettonie et la Pologne. Les chercheurs ont lié ce groupe à la Biélorussie en novembre 2021.

Qualifiée de massive, cette attaque ne serait en définitive que d’intensité modérée. Elle ne concernerait en fait qu’une quinzaine de sites hébergés sur le même serveur et animés par un système de gestion de contenus nommé October. L’attaque aurait été conduite en exploitant une vulnérabilité permettant de réinitialiser le mot de passe administrateur, la CVE-20232648, selon notre consœur Kim Zetter.

Si cette attaque en défiguration a largement attiré l’attention, elle n’en a peut-être que mieux détourné les regards d’une autre, relevée par les équipes du centre de renseignement sur les menaces de Microsoft (MSTIC).

Dans un billet publié ce samedi 15 janvier, les équipes du MSTIC ont ainsi alerté sur « une opération destructrice visant de multiples organisations en Ukraine ». Le maliciel impliqué aurait été observé pour la première fois deux jours plus tôt, sur le système d’information d’une victime. Il apparaît « conçu pour ressembler à un rançongiciel, mais n’intègre pas de mécanisme de restauration » en cas de paiement de rançon : « il est pensé pour être destructeur et pour rendre les appareils visés inopérants ».

S’appuyant sur ses données de télémétrie, Microsoft indique avoir identifié le logiciel malveillant « sur des dizaines de systèmes affectés », au sein d’organisations gouvernementales, à but non lucratif, ou IT, « toutes basées en Ukraine ». Le MSTIC parle ouvertement d’activité liée à un État-nation.

Les équipes de Microsoft décrivent un maliciel effaçant le Master Boot Record (MBR) des périphériques de stockage des systèmes affectés. Une demande de rançon est présentée, ainsi qu’un identifiant pour la messagerie chiffrée Tox. Le logiciel malveillant s’exécutant au moment de la mise hors tension du système visé.

Son second étage va plus loin. Il est téléchargé depuis un canal Discord et s’attache à corrompre des fichiers sur système cible. Microsoft ne s’est pas penché sur un troisième étage découvert dans le courant du week-end. Sans surprise, cette opération a largement rappelé l’épisode NotPetya. Pour autant, à ce stade, aucun mécanisme comparable de distribution initiale ou de propagation n’a été observé.