Comment la Russie pirate l’Ukraine depuis 2014 pour préparer la guerre

Depuis jeudi 24 février, la Russie est en guerre contre l’Ukraine. Si l’opération militaire s’enlise peu à peu, Poutine tente par tous les moyens d’accélérer l’invasion. Pour cela, son armée attaque tout azimut. D’une façon traditionnelle, “conventionnelle”, avec des chars et des missiles. Et aussi, 21e siècle oblige, d’une façon plus « virtuelle », plus insidieuse : dans le cyber espace.

On parle beaucoup des cyber-attaques survenues depuis le 23 février, veille du déclenchement de l’invasion russe. Mais pour bien comprendre comment Moscou s’y prend pour déstabiliser son adversaire frontalier, il faut à chaque fois, pour chaque type d’attaque, faire un petit retour en arrière. Car celles qui visent Kiev actuellement ne sont que la concrétisation d’une multitude d’essais.

 

 

Des attaques DDOS depuis au moins 2014 

Le 14 janvier 2022, plus de 12 sites web (sur 70) du gouvernement ukrainien sont piratés par des hackers (très vraisemblablement) affiliés aux services secrets russes. Suite à une attaque par déni de service (DDOS), les sites sont inaccessibles. Puis les pages d’accueil, modifiées, affichent le même message, destiné à faire peur :  «  »Toutes les données présentes sur l’ordinateur sont en train d’être détruites. Toutes les informations vous concernant sont devenues publiques. Attendez-vous au pire. » Le piratage est tellement réussi qu’une grande partie de l’infrastructure numérique du gouvernement, y compris le site le plus utilisé pour gérer les services gouvernementaux en ligne, Diia, a été paralysé. Parmi les sites en panne : ceux du Cabinet des ministres, et des ministères de l’énergie, des sports, de l’agriculture, des anciens combattants et de l’écologie. Mais les sites sont, heureusement, rapidement restaurés. Et aucune donnée n’a été effacée, contrairement au message des hackers.

Ce type d’attaque, les DDOS, consiste ici à faire tomber un service informatique en le noyant sous les requêtes, jusqu’à ce qu’il ne puisse plus y faire face. En 2014, déjà, des hackers “pro-russes” avaient attaqué des sites web ukrainiens, à l’occasion des élections présidentielles de l’époque et de l’annexion de la Crimée. Objectif : perturber la campagne et donc impacter les résultats. Pour cela, pendant plusieurs jours, des attaques par déni de service avaient été menées contre les sites liés au décompte des votes.

Forcément, les hackers russes ont mené des attaques DDOS contre les sites du gouvernement à l’occasion de l’invasion de 2022. Le 23 février, veille du déclenchement des hostilités, des centaines de milliers de requêtes simultanées, visant à perturber le trafic des serveurs ukrainiens, ont entraîné la panne des sites web des ministères de l’Intérieur, de la Défense, et des Affaires étrangères. D’autres attaques DDOS ont aussi été menées contre les banques ukrainiennes. Mais étant donné que ces attaques n’étaient pas une première, comme nous l’avons vu, l’Ukraine s’y était préparée : la majorité des sites visés ont rapidement été remis en service. Bien que certains services restent encore en panne actuellement.

 

 

Des malwares pour bloquer ou effacer des ordinateurs

Beaucoup plus problématiques que les attaques DDOS, d’autres menées depuis le 24 février ont recours à des malwares, afin d’infecter des machines. Grâce à des logiciels malveillants, les hackers peuvent modifier ou effacer les données présentes sur les disques durs des ordinateurs piratés.

Là encore, ce type de cyberattaque contre les machines ukrainiennes remonte à bien avant l’invasion russe. En 2014, toujours, en parallèle des attaques par déni de service, les mêmes hackers “pro-russes” avaient utilisé des malwares pour infecter les systèmes informatiques chargés du décompte des votes, et ainsi modifier les résultats. Des documents et des e-mails avaient été dérobés au passage.

En 2017, une attaque d’envergure paralyse des milliers d’ordinateurs partout en Europe : comme dans l’épisode WannaCry/WannaCrypt, le logiciel utilisé, Notpeya, est un ransomware (rançongiciel en français). En recourant à des e-mails piégés envoyés à des salariés d’entreprises privées, les hackers réussissent à installer leur malware sur une multitude de machines. Puis le logiciel chiffre les données, afin de les rendre inaccessibles ; à moins de payer une rançon. En Ukraine, Notpetya, que les experts attribuent aux services secrets russes, a permis de rendre inopérants les ordinateurs de milliers d’entreprises et de services publics, dont des banques, des supermarchés, des stations-service, et même les capteurs automatiques de radioactivité de Tchernobyl.

Il faut noter que dans le cas de Notpetya, il ne s’agissait pas que d’un ransomware : il s’agissait aussi d’un “wiper”. Autrement dit, un “nettoyeur”, qui a pour mission de détruire les données de ses victimes. Ce type de malware destructeur a été détecté ensuite en janvier 2022. En parallèle des attaques DDOS menées contre les sites gouvernementaux ukrainiens, des wipers sont ainsi détectés par Microsoft sur les ordinateurs d’entreprises privées et d’institutions. Ce type de logiciel malveillant ressemblait à un “simple” ransomware, sur le modèle de Petya, mais n’avait pour seul but que de détruire des données (son apparence de ransomware étant visiblement une diversion destinée à cacher sa vraie nature). Pour effacer les données, le code malveillant écrase les fichiers ciblés et les remplace par des données statiques.

 

Aucune donnée n’a été effacée à l’époque. Parce que Microsoft a alerté ses clients à temps, mais aussi, peut-être, parce qu’il s’agissait d’un logiciel “dormant”. En effet, le 23 février dernier, veille de l’invasion russe, le même “data wiper” s’active soudain sur des ordinateurs ukrainiens. L’entreprise slovaque de sécurité numérique ESET annonce avoir découvert sa présence sur “plusieurs centaines de machines” dans le pays ; machines sur lesquelles toutes les données ont été effacées d’une manière irréversible (à moins que des sauvegardes aient été réalisées hors ligne, elles ont donc été perdues). Les cibles de ce logiciel, que l’on surnomme désormais “HermeticWiper”, n’ont pas été révélées, mais il s’agit de “grandes organisations”, dont des banques et des entreprises travaillant comme “sous-traitants” pour le gouvernement ukrainien. Cette cyberattaque semble avoir été depuis abandonnée. Mais l’analyse du code du virus nettoyeur ont permis d’apprendre sa date de création : le 28 décembre 2021. Ce qui permet de conclure qu’il se trouvait donc probablement “en attente”, sur de nombreux ordinateurs, depuis au moins 2 mois.

À noter que HermeticWiper, qui aurait été véhiculé via un faux pilote de mise à jour Windows, ne se contente pas de supprimer les données : il endommage aussi la table de partitions et le Master Boot Record (MBR) de l’ordinateur cible, autrement dit la zone d’amorçage de son disque dur. L’appareil ne peut finalement plus démarrer.

 

 

Des malwares pour bloquer des infrastructures physiques 

D’autres cyberattaques via des logiciels malveillants ont déjà permis aux hackers de franchir une autre dimension, en s’attaquant à des infrastructures physiques. Même si elles n’ont pas eu lieu dans le cadre de la guerre actuelle, elles pourraient facilement être reproduites. En 2015 et 2016, des cyberattaques attribuées à la Russie ont donc coupé l’électricité dans plusieurs régions d’Ukraine. Mode opératoire : le piratage de machines via des malwares.

En décembre 2015, une centrale électrique de l’ouest de l’Ukraine, non loin de la d’Ivano-Frankivsk, est la cible de deux logiciels malveillants, BlackEnergy et Killdisk, qui contraignent les ingénieurs à stopper son fonctionnement. Ce qui plonge la ville d’Ivano-Frankivsk dans le noir. Selon ESET, les attaques menées via BlackEnergy et Killdisk visaient aussi plusieurs autres établissements et sociétés ukrainiennes du secteur de l’énergie. Dans le cas de la centrale électrique, le malware BlackEnergy a infecté les ordinateurs de l’infrastructure, ce qui a ensuite permis aux hackers d’y installer un autre malware, Killdisk, dont la mission était de rendre les ordinateurs de contrôle inutilisables.

Un an plus tard, en 2016, des cyberattaques du même type visent des centrales électriques de la société ukrainienne Ukrenergo, et parviennent à perturber (pendant 1 heure) le fonctionnement d’une station-relais alimentant Kiev. Cette fois, c’est un nouveau logiciel malveillant qui est utilisé. Baptisé Industroyer, il a été spécialement conçu pour exploiter les protocoles de communication utilisés par les automates industriels des centrales électriques, afin de prendre le contrôle de la distribution électrique et de détruire les fonctions de démarrage des postes de contrôle.

En 2018, un autre malware, repéré à temps par les services secrets ukrainiens, visait cette fois une station de filtrage d’eau basée dans la province de Dnipropetrovsk. Le logiciel, VPNFilter, était encore plus sophistiqué, et permettait de manipuler des flux et des protocoles SCADA (système de contrôle et d’acquisition de données en temps réel) utilisés par les systèmes de contrôle de sites industriels. Il avait infecté plus de 500 000 routeurs dans le monde à l’époque. Ses créateurs et utilisateurs : Sandworm, un groupe de hackers connus pour travailler pour le compte des services de renseignement russes.

Les centrales électriques ukrainiennes continuent d’être dans le viseur des russes actuellement, mais ils s’y attaquent physiquement, par les armes, afin d’en prendre le contrôle. Toutefois, s’ils ne parvenaient pas à leurs fins, il ne serait pas irréaliste d’imaginer que des cyberattaques sur le modèle de celles réalisées entre 2015 et 2018 puissent être lancées prochainement par des groupes de hackers.

 

 

Un malware qui cible les périphériques réseau

Un malware encore plus sophistiqué que VPNFilter a d’ailleurs été récemment détecté par les agences de cybersécurité américaines et britanniques sur des réseaux et des appareils ukrainiens. Baptisé Cyclops Blink, ce logiciel créé par le groupe de pirates russes Sandworm, il cible les périphériques et les systèmes réseaux. Selon l’UK National Cyber Security Center (NSCS) et la US Cybersecurity and Infrastructure Security Agency (CISA), Cyclops Blink exploite les failles des terminaux réseau, principalement les routeurs de petites entreprises, grand public et des NAS. Pendant les premiers jours de la guerre, il a infecté des équipements pare-feu de la société WatchGuard, afin de créer un botnet (dont les serveurs de commande et contrôle sont accessibles via le réseau Tor) ; c’est-à-dire un réseau de bots informatiques connectés à Internet et destinés à mener des cyberattaques ultérieures contre d’autres cibles.

Selon les agences de cybersécurité anglo-saxonnes, Cyclops Blink circule depuis au moins 3 ans, et permet notamment de “transmettre des informations sur l’appareil à un serveur de contrôle, et de télécharger et d’exécuter des fichiers”. Une autre fonctionnalité permettrait, d’après WatchGuard, d’ajouter de nouveaux modules pendant que le malware est exécuté, afin que les hackers puissent implémenter “des capacités supplémentaires selon les besoins”. Après l’infection, le malware s’installe comme une mise à jour pour résister aux redémarrages. Il permet in fine de contrôler, de collecter et d’exfiltrer les informations de l’appareil infecté. Quand il ne s’agit pas de l’utiliser dans le cadre d’un botnet.

D’après la NSCS, Sandworm a pour l’instant utilisé ce malware pour infecter les périphériques réseau de WatchGuard, mais les hackers sont probablement capables de le compiler pour qu’il fonctionne également sur d’autres plateformes, d’autres architectures et d’autres firmwares. Si aucune fuite de données n’a été constatée jusqu’à présent, il y a évidemment fort à parier que Cyclops Blink fasse bientôt parler de lui, puisque sa mission est visiblement de permettre à ses créateurs de préparer d’autres attaques informatiques. Durant le conflit en cours ?

 

Comment l’Ukraine s’est préparée (et contre-attaque) 

Face à ces cyber-attaques, le gouvernement ukrainien s’était préparé. Le 22 février, deux jours avant le début de la guerre, il avait pris des mesures pour que ses serveurs informatiques soient effacés, et que ses données sensibles soient transférées hors de Kiev, en cas d’invasion. Ces derniers jours, il aussi sollicité des acteurs privés du monde de la cybersécurité afin “d’enrôler” les cybercriminels du pays dans la future lutte contre les attaquants russes. Mais ce sont finalement des hackers du monde entier, débutants comme aguerris, qui contre-attaquent. Depuis le 25 février, les failles critiques de plusieurs centaines de sites russes auraient été diffusées sur le net, et selon Zataz.com, le site web de Russia Today aurait lui aussi été la cible d’un piratage, mené par des internautes affirmant faire partie du collectif Anonymous.

Toutefois, même si le FSB (le service fédéral de sécurité russe) a publié un texte mettant en garde contre de possibles cyber-attaques contre la Russie, et même si un hacker a récemment diffusé des codes permettant de se connecter au site du même FSB, “les russes s’en amusent”, nuance Damien Bancal, fondateur de Zataz.com, sur France Info. Selon lui, le FSB considère ainsi cette contre-attaque cyber comme un “épiphénomène”.

 

Vers des cyber-attaques hors d’Ukraine ?

Reste la menace de voir cette cyber-guerre dépasser les frontières ukrainiennes. Comme le remarque l’expert en cybersécurité Justin Sherman dans Wired, tous les pays qui soutiennent les sanctions prises contre la Russie sont désormais des cyber-cibles potentielles : “Le réseau de hackers non étatiques du Kremlin peut faire autant de ravages que le gouvernement de Poutine. S’il venait à la Russie l’envie de semer le chaos au-delà des frontières de l’Ukraine, elle s’exposerait certes à de rudes contre-attaques, mais elle pourrait sans nul doute provoquer le chaos”, écrit-il. Début février, déjà, 17 terminaux pétroliers en Europe ont été visés par un ransomware, très probablement d’origine russe. La possibilité de voir des hackers russes attaquer des infrastructures importantes ou de grandes entreprises en France, par exemple, n’est donc pas à exclure.

Forcément, la France, comme tous ses voisins occidentaux, est sur le qui-vive. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a ainsi mis en garde contre des « effets dans le cyberespace qui doivent être anticipés ». L’agence précise qu’ »aucune cybermenace visant les organisations françaises, en lien avec les récents événements, n’a pour l’instant été détectée », mais incite les entreprises et les administrations à rester vigilantes. Elle leur conseille de mettre en œuvre 5 mesures “cyber-préventives” prioritaires : renforcer l’authentification des comptes informatiques exposés (comme ceux des administrateurs système), renforcer la vigilance des équipes de supervision, sauvegarder hors-ligne les données et les applications critiques, établir une liste priorisée des services numériques critiques, et s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyber-attaque.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici