Ukraine : comment le domaine cyber est à nouveau terrain d’engagement

Sans surprise, le domaine cyber n’est pas laissé de côté dans le conflit qui s’est désormais ouvert en Ukraine. Les équipes d’Eset et de Symantec ont alerté sur un nouveau maliciel destructeur, un wiper, déployé, selon le premier, « sur des centaines de machines dans le pays », et découvert quelques heures avant que les troupes russes ne franchissent les frontières de l’Ukraine.

Les équipes d’Eset précisent que l’échantillon étudié a été compilé le 28 décembre dernier, « suggérant que l’attaque a pu être en préparation depuis au moins deux mois ». Mais un autre échantillon semble quant à lui avoir été compilé seulement quelques heures avant l’offensive. Les équipes de Sekoia.io ont publié une règle Yara pour le débusquer.

Le maliciel, baptisé HermeticWiper, s’appuie sur des pilotes logiciels légitimes pour corrompre les données des disques des machines sur lesquelles il est installé, avant de les redémarrer. La distribution apparaît également préparée : « dans l’une des organisations visées, le wiper a été déployé via la GPO par défaut du domaine, ce qui signifie que les attaquants avaient le contrôle du serveur Active Directory ».

Le chercheur français Sébastien Larinier, qui s’est penché sur le maliciel, relève qu’une partie du code utilisé « est totalement neuf », sans réutilisation de code connu, et « plutôt bien fait » : « le développeur maîtrise bien Windows et la programmation événementielle ». De leur côté, les équipes de SentinelOne relèvent que HermeticWiper efface les sauvegardes snapshot de Windows et intervient sur la zone d’amorce du disque, le MBR, après le redémarrage.

Déjà, en janvier, les équipes de Microsoft avaient alerté sur un maliciel de type wiper observé en Ukraine et baptisé Whisper Gate. Il était maquillé en rançongiciel. Symantec évoque de son côté le déploiement de ransomwares en parallèle à HermeticWiper ; un éventuel leurre également repéré par Avast. Selon l’éditeur, la Lithuanie serait également concernée. Il évoque de possibles activités malveillantes initiales remontant à novembre 2021.

Avant l’entrée des troupes russes en Ukraine, banques et administrations locales ont été confrontées à des attaques en déni de service distribué (DDoS). Selon Bellingcat, celles-ci pourraient avoir servi à la distribution d’un maliciel, en amenant les internautes à se tourner vers des copies des sites officiels rendus injoignables. L’un des clones, celui du site de la présidence ukrainienne, abritait un mécanisme de distribution de maliciel, un potentiel cheval de Troie.