Sommaire
Une première version de cet article de blog a été publiée en tant que FLINT (Flash Intelligence Report) par l’équipe de recherche SEKOIA.IO sur les menaces et la détection le 16 février 2022. Il s’agit d’une version mise à jour, à la lumière des derniers développements liés à l’invasion de l’Ukraine par Russie.
RÉSUMÉ
Depuis plusieurs mois, les troupes russes se concentrent de plus en plus près de sa frontière avec l’Ukraine, mais aussi à la frontière entre la Biélorussie et l’Ukraine. Des exercices militaires ont également été menés par des groupes de travail militaires à l’étranger des forces armées russes en Transnistrie, qui est un État séparatiste non reconnu à la frontière entre la Moldavie et l’Ukraine. En décembre, plus de cent mille soldats étaient en place près de la frontière. 110 groupes tactiques de bataillons russes et plus de 150 000 soldats étaient en place autour de l’Ukraine à la mi-février, selon des responsables occidentaux.
En décembre 2021, la Russie a émis une série de demandes qui incluaient une interdiction à l’Ukraine d’entrer dans l’OTAN. Les États-Unis et d’autres alliés de l’OTAN ont rejeté ces demandes. En février 2022, les troupes des pays de l’OTAN bordaient des pays comme la Pologne et la Roumanie.
Après une phase prolongée de tensions militaires entre la Russie et l’Ukraine, le 23 février, ESET, SentinelOne et Symantec ont commencé à observer un nouveau logiciel malveillant d’effacement (surnommé HermeticWiper) activement utilisé contre les organisations ukrainiennes.
Le 24 février, la Russie a lancé une invasion à grande échelle de l’Ukraine.
Plusieurs cyberattaques précèdent l’invasion russe
Dans le climat géopolitique qui prévaut actuellement, l’utilisation des cyberattaques comme une arme et un élément clé de la stratégie offensive russe doit être considérée comme une menace réelle. Cela s’est déjà produit lors de la campagne militaire de 2008 contre la Géorgie et dans le contexte de la crise de Crimée de 2014.
Une cyberattaque à grande échelle contre une infrastructure critique est souvent qualifiée de précurseur d’une offensive militaire conventionnelle. A la date d’écriture, une série de soi-disant Les cyberattaques russes continuent de cibler l’Ukraine.
• Le 13 janvier 2022, Microsoft a communiqué sur un logiciel malveillant destructeur ciblant plusieurs organisations en Ukraine.
• Le 14 février 2022, le SSU (Security Service of Ukraine) a publié une déclaration sur l’Ukraine ciblée par une « vague massive de guerre hybride ». Selon la source, les services de sécurité ukrainiens ont récemment démantelé de nombreuses fermes de robots. Des opérations ont également été menées pour démasquer les réseaux d’agents des services de renseignement hostiles et prévenir les sabotages et les attentats terroristes.
• Le 15 février 2022, une attaque DDoS (Distributed Denial of Service) a ciblé plusieurs agences gouvernementales ukrainiennes (y compris des sites Web de l’armée ukrainienne) et deux grandes banques.
• Le 23 février 2022, un nouvel essuie-glace baptisé HermeticWiper a été utilisé dans des attaques destructrices contre les réseaux ukrainiens. Les sites Web du parlement ukrainien, du ministère des Affaires étrangères et du Conseil des ministres (y compris tous les sites ministériels individuels) et du service de sécurité ukrainien ont été affectés par une campagne DDoS présumée. Cela s’est produit après que Vladimir Poutine a reconnu l’indépendance des régions séparatistes de la DNR et de la LNR de l’est de l’Ukraine, et que la Russie a déplacé des troupes dans plusieurs régions d’Ukraine.
Panne de Surfbeam2, que s’est-il passé avec KA-SAT ?
Risques de dommages collatéraux
Les régulateurs européens ont invité les organisations des secteurs public et privé de l’UE à améliorer leur résilience globale aux attaques, sur la base du « niveau de menace en constante augmentation ». Les banques ont été invitées à se préparer à une éventuelle cyberattaque parrainée par la Russie, selon des sources citées par Reuters. CNN a également cité des sources au sein du Département de la sécurité intérieure des États-Unis pour avertir que la Russie envisageait une éventuelle attaque contre le territoire américain lors d’un assaut secondaire.
Les autorités et les experts en sécurité préviennent que les industries suivantes seraient plus susceptibles d’être ciblées par une attaque russe dans les temps à venir :
• le secteur bancaire,
• l’industrie de la défense,
• les services de communication,
• le secteur de l’énergie.
N’importe quel pays et n’importe quelle entreprise peut être une victime collatérale de toute campagne malveillante potentielle dirigée par l’Ukraine. Pour rappeler l’attaque NotPetya de 2017 (initialement conçue pour cibler des entreprises en Ukraine), la menace a fini par avoir un impact mondial.
L’expansion de l’OTAN en Europe de l’Est est l’un des principaux problèmes du conflit frontalier ukrainien en cours.
Il est donc possible que la Russie tente de déstabiliser les pays de l’OTAN – ou leurs alliés – et que des cyberattaques coordonnées accompagnent des campagnes militaires impliquant des nations au-delà de l’Ukraine. Si une telle attaque se produisait, elle pourrait toucher toute la région et l’Europe de l’Est en particulier. Il existe un risque plus élevé que des États membres de l’alliance de l’OTAN tels que la Pologne ou la Roumanie soient ciblés. Il existe également un grand risque pour la côte Est des États-Unis d’être impliquée dans des cyberopérations russes offensives.
« Des actions intensifiées en Pologne » ont déjà été observées, selon le porte-parole du gouvernement polonais Piotr Müller.
Dans ces circonstances, Joe Biden a déclaré que les États-Unis sont «prêts à réagir si la Russie attaque les États-Unis ou nos alliés par des cyberattaques perturbatrices contre nos entreprises ou nos infrastructures critiques». Les responsables britanniques ont déclaré qu’ils étaient également prêts à lancer des cyber-attaques de représailles contre la Russie.
Néanmoins, une campagne offensive massive lancée par les cyber-forces russes qui cibleraient directement les infrastructures européennes ou américaines semble moins probable que les cyber-répercussions causées aux entreprises et institutions du monde entier via une campagne ciblée contre l’Ukraine.
L’impact pourrait aller des dénis de service contre les actifs critiques (serveurs de noms faisant autorité, services d’urgence, infrastructure de télécommunications) au cyberespionnage et aux attaques destructrices ciblant les infrastructures critiques. Il faut également mentionner que les groupes russes APT comme Gamaredon mènent déjà depuis un certain temps des campagnes massives de prépositionnement sur les infrastructures ukrainiennes.
Même si aucune attaque immédiate ne se produit, il y a déjà des signes de guerre de l’information affectant l’Ukraine cyberespace et – comme l’ont déclaré les services de sécurité ukrainiens – visaient à « semer la panique, diffuser de fausses informations et déformer la situation réelle ».
Opportunités de cybercriminalité
Pourtant, il ne s’agit pas uniquement d’acteurs parrainés par l’État – il existe également des activités cybercriminelles opportunistes qui doivent être prises en compte. Les syndicats de cybercriminels qui sont favorables au discours politique de la Russie peuvent soit être facilement mobilisés par les agences gouvernementales (pour préserver une apparence opportuniste des attaques), soit être incités à suivre une tendance plus large et à atteindre les mêmes cibles que les campagnes coordonnées par l’État. Il convient également de rappeler que les cybercriminels profitent des crises majeures telles que l’invasion russe de l’Ukraine pour diffuser des logiciels malveillants de base ou des campagnes de phishing.
Les campagnes malveillantes contre les entreprises occidentales devraient s’intensifier, amplifiées par les sanctions contre la Russie annoncées par les autorités européennes et américaines.
Si nous ne pouvons pas établir de lien de causalité avec les enjeux géopolitiques actuels, nous constatons une augmentation du nombre de campagnes contre les industries de l’énergie, de l’aviation et des médias en Europe depuis début février. Il s’agit notamment des campagnes d’attaque des groupes exploitant les rançongiciels RansomExx, LockBit, Hive, BlackCat, BlackByte et Conti. Ces groupes sont considérés comme impliquant acteurs de la menace d’origine russe ou d’un autre pays russophone et de nombreuses sources ont souligné, au fil du temps, leur affiliation avec des agences de renseignement russes. Néanmoins, il faut rester prudent face aux scénarios sous fausse bannière.
Pistes d’action
• Nous vous recommandons d’être prudent vis-à-vis de vos filiales régionales, fournisseurs de la chaîne d’approvisionnement et de vos homologues situés ou disposant de systèmes en Ukraine et en Europe de l’Est, y compris les pays membres de l’OTAN. Être vigilant sur leurs connexions avec le système d’information de leur siège en France.
• Utilisez les IOC fournis pour vérifier la compromission potentielle de votre réseau et prévenir de futures attaques. Soyez conscient des acteurs de la menace soutenus par l’État russe et de leur activité.
• Reportez-vous aux alertes et recommandations de sécurité émises par les organismes publics français, européens et autres collectivités territoriales liées à votre secteur d’activité.
Invasion de l’Ukraine – quelles implications dans le cyberespace ?
Une première version de cet article de blog a été publiée en tant que FLINT (Flash Intelligence Report) par l’équipe de recherche SEKOIA.IO sur les menaces et la détection le 16 février 2022. Il s’agit d’une version mise à jour, à la lumière des derniers développements liés à l’invasion de l’Ukraine par Russie.
RÉSUMÉ
Depuis plusieurs mois, les troupes russes se concentrent de plus en plus près de sa frontière avec l’Ukraine, mais aussi à la frontière entre la Biélorussie et l’Ukraine. Des exercices militaires ont également été menés par des groupes de travail militaires à l’étranger des forces armées russes en Transnistrie, qui est un État séparatiste non reconnu à la frontière entre la Moldavie et l’Ukraine. En décembre, plus de cent mille soldats étaient en place près de la frontière. 110 groupes tactiques de bataillons russes et plus de 150 000 soldats étaient en place autour de l’Ukraine à la mi-février, selon des responsables occidentaux.
En décembre 2021, la Russie a émis une série de demandes qui incluaient une interdiction à l’Ukraine d’entrer dans l’OTAN. Les États-Unis et d’autres alliés de l’OTAN ont rejeté ces demandes. En février 2022, les troupes des pays de l’OTAN bordaient des pays comme la Pologne et la Roumanie.
Après une phase prolongée de tensions militaires entre la Russie et l’Ukraine, le 23 février, ESET, SentinelOne et Symantec ont commencé à observer un nouveau logiciel malveillant d’effacement (surnommé HermeticWiper) activement utilisé contre les organisations ukrainiennes.
Le 24 février, la Russie a lancé une invasion à grande échelle de l’Ukraine.
Plusieurs cyberattaques précèdent l’invasion russe
Dans le climat géopolitique qui prévaut actuellement, l’utilisation des cyberattaques comme une arme et un élément clé de la stratégie offensive russe doit être considérée comme une menace réelle. Cela s’est déjà produit lors de la campagne militaire de 2008 contre la Géorgie et dans le contexte de la crise de Crimée de 2014.
Une cyberattaque à grande échelle contre une infrastructure critique est souvent qualifiée de précurseur d’une offensive militaire conventionnelle. A la date d’écriture, une série de soi-disant Les cyberattaques russes continuent de cibler l’Ukraine.
• Le 13 janvier 2022, Microsoft a communiqué sur un logiciel malveillant destructeur ciblant plusieurs organisations en Ukraine.
• Le 14 février 2022, le SSU (Security Service of Ukraine) a publié une déclaration sur l’Ukraine ciblée par une « vague massive de guerre hybride ». Selon la source, les services de sécurité ukrainiens ont récemment démantelé de nombreuses fermes de robots. Des opérations ont également été menées pour démasquer les réseaux d’agents des services de renseignement hostiles et prévenir les sabotages et les attentats terroristes.
• Le 15 février 2022, une attaque DDoS (Distributed Denial of Service) a ciblé plusieurs agences gouvernementales ukrainiennes (y compris des sites Web de l’armée ukrainienne) et deux grandes banques.
• Le 23 février 2022, un nouvel essuie-glace baptisé HermeticWiper a été utilisé dans des attaques destructrices contre les réseaux ukrainiens. Les sites Web du parlement ukrainien, du ministère des Affaires étrangères et du Conseil des ministres (y compris tous les sites ministériels individuels) et du service de sécurité ukrainien ont été affectés par une campagne DDoS présumée. Cela s’est produit après que Vladimir Poutine a reconnu l’indépendance des régions séparatistes de la DNR et de la LNR de l’est de l’Ukraine, et que la Russie a déplacé des troupes dans plusieurs régions d’Ukraine.
Panne de Surfbeam2, que s’est-il passé avec KA-SAT ?
Risques de dommages collatéraux
Les régulateurs européens ont invité les organisations des secteurs public et privé de l’UE à améliorer leur résilience globale aux attaques, sur la base du « niveau de menace en constante augmentation ». Les banques ont été invitées à se préparer à une éventuelle cyberattaque parrainée par la Russie, selon des sources citées par Reuters. CNN a également cité des sources au sein du Département de la sécurité intérieure des États-Unis pour avertir que la Russie envisageait une éventuelle attaque contre le territoire américain lors d’un assaut secondaire.
Les autorités et les experts en sécurité préviennent que les industries suivantes seraient plus susceptibles d’être ciblées par une attaque russe dans les temps à venir :
• le secteur bancaire,
• l’industrie de la défense,
• les services de communication,
• le secteur de l’énergie.
N’importe quel pays et n’importe quelle entreprise peut être une victime collatérale de toute campagne malveillante potentielle dirigée par l’Ukraine. Pour rappeler l’attaque NotPetya de 2017 (initialement conçue pour cibler des entreprises en Ukraine), la menace a fini par avoir un impact mondial.
L’expansion de l’OTAN en Europe de l’Est est l’un des principaux problèmes du conflit frontalier ukrainien en cours.
Il est donc possible que la Russie tente de déstabiliser les pays de l’OTAN – ou leurs alliés – et que des cyberattaques coordonnées accompagnent des campagnes militaires impliquant des nations au-delà de l’Ukraine. Si une telle attaque se produisait, elle pourrait toucher toute la région et l’Europe de l’Est en particulier. Il existe un risque plus élevé que des États membres de l’alliance de l’OTAN tels que la Pologne ou la Roumanie soient ciblés. Il existe également un grand risque pour la côte Est des États-Unis d’être impliquée dans des cyberopérations russes offensives.
« Des actions intensifiées en Pologne » ont déjà été observées, selon le porte-parole du gouvernement polonais Piotr Müller.
Dans ces circonstances, Joe Biden a déclaré que les États-Unis sont «prêts à réagir si la Russie attaque les États-Unis ou nos alliés par des cyberattaques perturbatrices contre nos entreprises ou nos infrastructures critiques». Les responsables britanniques ont déclaré qu’ils étaient également prêts à lancer des cyber-attaques de représailles contre la Russie.
Néanmoins, une campagne offensive massive lancée par les cyber-forces russes qui cibleraient directement les infrastructures européennes ou américaines semble moins probable que les cyber-répercussions causées aux entreprises et institutions du monde entier via une campagne ciblée contre l’Ukraine.
L’impact pourrait aller des dénis de service contre les actifs critiques (serveurs de noms faisant autorité, services d’urgence, infrastructure de télécommunications) au cyberespionnage et aux attaques destructrices ciblant les infrastructures critiques. Il faut également mentionner que les groupes russes APT comme Gamaredon mènent déjà depuis un certain temps des campagnes massives de prépositionnement sur les infrastructures ukrainiennes.
Même si aucune attaque immédiate ne se produit, il y a déjà des signes de guerre de l’information affectant l’Ukraine cyberespace et – comme l’ont déclaré les services de sécurité ukrainiens – visaient à « semer la panique, diffuser de fausses informations et déformer la situation réelle ».
Opportunités de cybercriminalité
Pourtant, il ne s’agit pas uniquement d’acteurs parrainés par l’État – il existe également des activités cybercriminelles opportunistes qui doivent être prises en compte. Les syndicats de cybercriminels qui sont favorables au discours politique de la Russie peuvent soit être facilement mobilisés par les agences gouvernementales (pour préserver une apparence opportuniste des attaques), soit être incités à suivre une tendance plus large et à atteindre les mêmes cibles que les campagnes coordonnées par l’État. Il convient également de rappeler que les cybercriminels profitent des crises majeures telles que l’invasion russe de l’Ukraine pour diffuser des logiciels malveillants de base ou des campagnes de phishing.
Les campagnes malveillantes contre les entreprises occidentales devraient s’intensifier, amplifiées par les sanctions contre la Russie annoncées par les autorités européennes et américaines.
Si nous ne pouvons pas établir de lien de causalité avec les enjeux géopolitiques actuels, nous constatons une augmentation du nombre de campagnes contre les industries de l’énergie, de l’aviation et des médias en Europe depuis début février. Il s’agit notamment des campagnes d’attaque des groupes exploitant les rançongiciels RansomExx, LockBit, Hive, BlackCat, BlackByte et Conti. Ces groupes sont considérés comme impliquant acteurs de la menace d’origine russe ou d’un autre pays russophone et de nombreuses sources ont souligné, au fil du temps, leur affiliation avec des agences de renseignement russes. Néanmoins, il faut rester prudent face aux scénarios sous fausse bannière.
Courses of Action
• Nous vous recommandons d’être prudent vis-à-vis de vos filiales régionales, fournisseurs de la chaîne d’approvisionnement et de vos homologues situés ou disposant de systèmes en Ukraine et en Europe de l’Est, y compris les pays membres de l’OTAN. Être vigilant sur leurs connexions avec le système d’information de leur siège en France.
• Utilisez les IOC fournis pour vérifier la compromission potentielle de votre réseau et prévenir de futures attaques. Soyez conscient des acteurs de la menace soutenus par l’État russe et de leur activité.
• Reportez-vous aux alertes et recommandations de sécurité émises par les organismes publics français, européens et autres collectivités territoriales liées à votre secteur d’activité.
Indicateurs de compromission
import "pe"
rule wiper_HermeticWiper_variants {
meta:
id = "102ecf15-167e-49e4-932c-6334e3cdcc69"
version = "1.0"
malware = "HermeticWiper"
description = "Matches HermeticWiper and possible variants"
source = "SEKOIA"
creation_date = "2022-02-24"
modification_date = "2022-02-24"
classification = "TLP:WHITE"
strings:
$ = "SeLoadDriverPrivilege" wide
$ = "\\\\.\\PhysicalDrive" wide
$ = "::$INDEX_ALLOCATION" wide
$ = "CrashDumpEnabled" wide
condition:
2 of them and
pe.characteristics and
pe.number_of_signatures == 1 and
pe.number_of_resources > 2 and
for 2 i in (0..pe.number_of_resources - 1):
( uint32be( pe.resources[i].offset+15 ) == 0x4D5A9000 and
uint16be( pe.resources[i].offset ) == 0x535A )
}HermeticWiper hashes
MD5
3f4a16b29f2f0532b7ce3e7656799125
84ba0197920fd3e2b7dfa719fee09d2f
SHA1
61b25d11392172e587d8da3045812a66c3385451
912342f1c840a42f6b74132f8a7c4ffe7d40fb77
SHA256
1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
Ms-compressed resources dropped by HermeticWiper:
(DRV_X64, DRV_X86, DRV_XP_X64 and DRV_XP_X86)
MD5
eb845b7a16ed82bd248e395d9852f467
095a1678021b034903c85dd5acb447ad
231b3385ac17e41c5bb1b1fcb59599c4
a952e288a1ead66490b3275a807f52e5
SHA1
ee764632adedf6bb4cf4075a20b4f6a79b8f94c0
9c2e465e8dfdfc1c0c472e0a34a7614d796294af
0231721ef4e4519ec776ff7d1f25c937545ce9f4
5ceebaf1cbb0c10b95f7edd458804a646c6f215e
SHA256
fd7eacc2f87aceac865b0aa97a50503d44b799f27737e009f91f3c281233c17d
b6f2e008967c5527337448d768f2332d14b92de22a1279fd4d91000bb3d4a0fd
b01e0c6ac0b8bcde145ab7b68cf246deea9402fa7ea3aede7105f7051fe240c1
e5f3ef69a534260e899a36cec459440dc572388defd8f1d98760d31c700f42d5Références
- [Symantec] Ukraine: Disk-wiping Attacks Precede Russian Invasion
- [SentinelOne] Essuie-glace hermétique | Nouveaux logiciels malveillants destructeurs utilisés dans les cyberattaques contre l’Ukraine
- [ESET] HermeticWiper : un nouveau logiciel malveillant d’effacement de données frappe l’Ukraine
- [BleepingComputer] Nouveau logiciel malveillant d’effacement de données utilisé dans des attaques destructrices contre l’Ukraine
- [SEKOIA.IO] HermeticWiper dans le centre de renseignement
- [CISA, N
Lire également sur le blog :
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
- Nouvelle campagne de phishing de TURLA en Europe de l’Est
- Raccoon Stealer v2 – Partie 2 : Analyse approfondie
- 5 chiffres clés à retenir de l’actualité des Ransomware en février 2022
