Après que l’Ukraine a recruté « l’armée informatique », des dizaines de sites russes s’éteignent

Après que l’Ukraine a recruté « l’armée informatique », des dizaines de sites russes s’éteignent

1 mars 2022 0 Par Le Caiman
Après que l'Ukraine a recruté

Le cyberespace ressent la pression de l’invasion meurtrière de l’Ukraine par la Russie : plusieurs sites liés au Kremlin et à ses alliés en Biélorussie ont été indisponibles pour l’ensemble ou du moins pour la majeure partie d’Internet ces derniers jours.

Les pannes ont commencé la semaine dernière avec la dégradation de sites Web russes et se sont accélérées au cours du week-end, à la suite d’une appel du vice-premier ministre ukrainien pour la formation d’une «armée informatique» pour cibler les intérêts russes.

Un appel aux armes

« Il y aura des tâches pour tout le monde », a écrit le vice-Premier ministre Mykhailo Fedorov. « Nous continuons à nous battre sur le cyber front. La première tâche est sur le canal des cyberspécialistes. »

La liste des tâches comprenait 31 organisations affiliées au Kremlin, aux banques et sociétés russes et à la Biélorussie. Les cibles incluent également les agences gouvernementales russes, les adresses IP gouvernementales, les périphériques de stockage et les serveurs de messagerie gouvernementaux, ainsi que la prise en charge des infrastructures critiques. Pendant un certain temps, le populaire moteur de recherche et portail de messagerie russe, Yandex, a également été rendu indisponible.

Sites Web de bon nombre des organisations répertoriées, y compris les banques (Gazprombank), entreprises (Sberbank), les sociétés (Compagnie russe du cuivre et Lukoil) et les sites Web gouvernementaux (Services d’État de Moscou et le Ministère de la Défense) — n’étaient pas disponibles au moment de la mise en ligne de ce message.

La cyberpolice d’Ukraine, quant à elle, annoncé dimanche que l’informatique travaillant pour le compte du pays avait réussi à empêcher les internautes d’accéder à une foule de sites russes de grande envergure.

Actuellement en panne

« Les cyberspécialistes mènent des cyberattaques massives sur les ressources Web de la Russie et de la Biélorussie », indique le message. « Le site Web du Comité d’enquête de la Fédération de Russie, du FSB de la Fédération de Russie, de la Sberbank et d’autres systèmes d’information gouvernementaux et critiques importants pour la Fédération de Russie et la Biélorussie sont actuellement en panne. »

Le message indiquait que les sites supprimés comprenaient les éléments suivants, qui étaient tous inaccessibles au moment de la mise en ligne de ce message :

  • sberbank.ru
  • vsrf.ru
  • scrf.gov.ru
  • kremlin.ru
  • radiobelarus.by
  • rec.gov.by
  • qqn par
  • biélorussie.by
  • ceinture.by
  • tvr.by

Lundi, le trafic Internet en provenance de l’extérieur de la Russie a été complètement bloqué pour accéder au site du portail e-gouvernement de la Russie. Comme c’est noté par Doug Madory, directeur de l’analyse Internet pour la société d’analyse de réseau Kentik, le plus grand fournisseur Internet de Russie, Rostelecom, a cessé d’annoncer les routes BGP pour le portail pour contenir un barrage ininterrompu de trafic indésirable qui l’inondait.

En conséquence, le site n’était pas accessible à tous ceux qui utilisaient des adresses IP attribuées en dehors de la Russie. Les exceptions incluent les points de présence Azure de Microsoft.

« Ce site est probablement principalement utilisé au niveau national, donc ce n’est probablement pas grave que les étrangers ne puissent pas y accéder », a déclaré Madory dans un chat. « Cependant, il est prouvé que RU prend des mesures défensives contre les attaques contre les sites gouvernementaux. »

Selon un Publication Facebook publié par la société énergétique russe Rosseti, les bornes de recharge pour véhicules électriques en Russie ont cessé de fonctionner lorsque la société ukrainienne qui fournissait les pièces pour les bornes les a piratés en utilisant une porte dérobée dans les systèmes de contrôle du chargeur. Au lieu de recharger les véhicules, les stations affichaient un message qui mentionnéentre autres : « GLOIRE À L’UKRAINE / GLOIRE AUX HÉROS / POUTINE EST UNE TÊTE DE CONTE / MORT À L’ENNEMI.

Alors qu’une grande partie de l’attention s’est concentrée sur l’utilisation par l’Ukraine des attaques DDoS pour perturber ou bloquer carrément les sites russes, la petite nation a également été victime de piratage malveillant. La semaine dernière, des chercheurs de la société de sécurité ESET mentionné ses chercheurs ont découvert un logiciel malveillant d’effacement de données jamais vu auparavant installé sur des centaines d’ordinateurs en Ukraine.

Des chercheurs de Symantec bientôt a confirmé les conclusions. Eux aussi avaient trouvé des logiciels malveillants ciblant des banques et des organisations des secteurs ukrainien de la défense, de l’aviation et des services informatiques.

UNE analyse technique de Juan Andrés Guerrero-Saade, chercheur principal sur les menaces chez SentinelOne, a déclaré HermeticWiper, comme le nouveau malware a été nommé, suit une « technique éprouvée » consistant à abuser d’un pilote de gestion de partition bénin pour détruire définitivement les données stockées sur les disques durs.

Deux essuie-glaces précédents – Destover du groupe nord-coréen Lazarus et Shamoon d’un groupe connu sous le nom d’APT33 – ont abusé du pilote Eldos Rawdisk pour obtenir un accès direct au système de fichiers sans appeler les API Windows. Guerrero-Saade a déclaré qu’HermeticWiper utilise une technique similaire en abusant d’un pilote différent, empntdrv.sys.

La semaine dernière, des chercheurs en sécurité ont déclaré que le groupe de piratage informatique le plus féroce de Russie avait déployé de nouveaux logiciels malveillants pour infecter les périphériques réseau afin qu’ils puissent être utilisés pour voler des mots de passe et d’autres données sensibles ou comme proxy pour dissimuler des cyberattaques sur d’autres organisations. Les sites Web ukrainiens ont également été rendus inaccessibles lors d’attaques DDoS.

Les pirates informatiques travaillant pour le compte du gouvernement russe ont été à l’origine d’attaques hautement destructrices dans le passé, les plus connues étant les attaques d’essuie-glace NotPetya qui ont causé 10 milliards de dollars de pertes pour les entreprises du monde entier. Les pirates informatiques russes ont également coupé le réseau électrique ukrainien non pas une mais deux fois.