L’invasion militaire russe en Ukraine s’accompagne visiblement d’attaques cybernétiques. Quelques heures avant l’assaut général de cette nuit, les chercheurs en sécurité d’Eset ont détecté un malware destructeur qui a infecté « des centaines de machines » dans le pays. Il a été baptisé « HermeticWiper » alias « Win32/KillDisc.NCV », car il utilise un certificat électronique parfaitement légitime (et probablement volé) attribué à une obscure entreprise chypriote du nom d’Hermetica Digital Ltd.
Grâce à ce certificat, le logiciel n’est pas détecté immédiatement par les logiciels antivirus. Il intègre également des drivers légitimes d’un logiciel de partitionnement, ce qui lui permet de corrompre les données de la machine avant de la redémarrer.
https://twitter.com/ESETresearch/status/1496581903205511181
Selon The Register, le malware effacerait non seulement des fichiers, mais aussi le Master Boot Record, ce qui rendrait les ordinateurs complètement inopérants. Les chercheurs ne savent pas comment ce « wiper » infecte les ordinateurs. Dans le cas précis d’une entreprise, ils ont pu voir qu’il a été distribué par le biais du système d’administration, ce qui suppose que les hackers ont réussi au préalable à prendre le contrôle de l’Active Directory. L’analyse du binaire révèle des dates de compilation de fin décembre 2021.
De leur côté, les chercheurs de Symantec ont également détecté un malware de type « wiper » qui se propagerait en Ukraine, en Lettonie et en Lituanie. Évidemment, l’attribution de ces malwares n’est pas claire, mais compte tenu du contexte géopolitique, il est très probable que c’est l’œuvre de hackers russes. Ces actions de sabotage font suite à d’intenses attaques de déni de service distribué qui ont visé hier les sites web du gouvernement et d’institutions bancaires en Ukraine.
Un nouveau cheval de Troie russe très sophistiqué
Enfin, signalons que les agences de cybersécurité américaines et britanniques viennent de détecter un nouveau cheval de Troie très sophistiqué du groupe de pirates russes Sandworm. Baptisé « Cyclops Blink », il infecte principalement des équipements pare-feu de la société WatchGuard pour créer un botnet, dont les serveurs de commande et contrôle sont accessibles par le biais du réseau Tor. D’un point de vue opérationnel, Cyclops Blink vient remplacer VPNFilter, qui avait infecté plus de 500 000 routeurs dans le monde en 2018 et qui était notamment capable de manipuler des flux SCADA en provenance de sites industriels.
On ne sait pas si son successeur est impliqué d’une manière ou d’une autre dans les cyberattaques actuelles en Ukraine. Le groupe Sandworm, est célèbre pour avoir provoqué des coupures de courant dans ce pays en 2015 et 2016. Il serait également à l’origine de NotPetya, un vers qui a provoqué des dommages informatiques dans le monde entier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.