Des ordinateurs ukrainiens touchés par un logiciel d’effacement de données alors que la Russie lançait l’invasion

Des figurines avec des ordinateurs et des smartphones sont vues devant les mots « Cyber ​​Attack », des codes binaires et le drapeau ukrainien, dans cette illustration prise le 15 février 2022. REUTERS/Dado Ruvic/Illustration/File Photo

LONDRES/KIEV, 23 février (Reuters) – Un logiciel destructeur récemment découvert circulant en Ukraine a touché des centaines d’ordinateurs, selon des chercheurs de la société de cybersécurité ESET, une partie de ce que les responsables ukrainiens ont déclaré être une vague croissante de piratage visant à le pays.

La société a déclaré sur Twitter que le programme d’effacement des données avait été installé sur des centaines de machines dans le pays, une attaque qui, selon elle, était probablement en cours depuis deux mois.

Vikram Thakur de la société de cybersécurité Symantec, qui étudie également l’incident, a déclaré à Reuters que les infections s’étaient propagées en dehors de l’Ukraine.

« Nous constatons une activité à travers l’Ukraine et la Lettonie », a déclaré Thakur. Un porte-parole de Symantec a ensuite ajouté la Lituanie.

On ne sait pas qui est responsable de l’essuie-glace, bien que les soupçons se soient immédiatement portés sur la Russie, qui a été accusée à plusieurs reprises d’avoir lancé des hacks de brouillage de données contre l’Ukraine et d’autres pays. La Russie a nié les allégations.

Les victimes en Ukraine comprenaient une agence gouvernementale et une institution financière, selon trois personnes qui ont étudié le logiciel malveillant depuis sa diffusion.

La nouvelle cyberattaque nécessitait un accès existant pour fonctionner, ce qui signifie que ces réseaux informatiques étaient déjà compromis, a déclaré Juan-Andres Guerrero-Saade, chercheur en cybersécurité à la société de sécurité numérique SentinelOne.

« Pour pousser cela, ils auraient déjà eu besoin d’un administrateur de domaine. Ils possédaient essentiellement toute l’entreprise. L’ensemble du réseau. Donc, ils n’avaient pas à le faire. Cela visait à endommager, désactiver, signaler et causer des ravages,  » dit Guerrero-Saadé.

Les chercheurs ont découvert que le logiciel d’effacement semblait avoir été signé numériquement avec un certificat délivré à une obscure société chypriote appelée Hermetica Digital Ltd.

Étant donné que les systèmes d’exploitation utilisent la signature de code comme vérification initiale des logiciels, un tel certificat peut avoir été conçu pour aider le programme malveillant à esquiver les protections antivirus. Obtenir un tel certificat sous de faux prétextes – ou le voler – n’est pas impossible, mais c’est généralement le signe d’un opérateur « sophistiqué et ciblé », a déclaré Brian Kime, vice-président de la société américaine de cybersécurité ZeroFox.

Les coordonnées d’Hermetica, qui s’est installé il y a près d’un an dans la capitale chypriote, Nicosie, n’étaient pas disponibles dans l’immédiat. L’entreprise ne semblait pas avoir de site Web.

Plus tôt mercredi, les sites Web du gouvernement ukrainien, du ministère des Affaires étrangères et du service de sécurité de l’État étaient en panne dans ce que le gouvernement a qualifié de nouvelle attaque par déni de service (DDoS).

« Vers 16 heures, une autre attaque DDoS de masse contre notre État a commencé. Nous disposons de données pertinentes d’un certain nombre de banques », a déclaré Mykhailo Fedorov, ministre de la Transformation numérique, ajoutant que le site Web du Parlement avait également été touché.

Il n’a pas précisé quelles banques étaient concernées et la banque centrale n’a pas pu être jointe dans l’immédiat pour commenter.

« Le cyber est maintenant simplement une composante de la guerre hybride », a déclaré Guerrero-Saade.

L’organisme ukrainien de surveillance de la protection des données a déclaré que les piratages étaient en hausse.

« Les attaques de phishing contre les autorités publiques et les infrastructures critiques, la propagation de logiciels malveillants, ainsi que les tentatives de pénétration des réseaux des secteurs privé et public et d’autres actions destructrices se sont intensifiées », a-t-il déclaré dans un e-mail.

La semaine dernière, les réseaux en ligne du ministère ukrainien de la Défense et de deux banques ont été submergés par une intrusion distincte. La société américaine Netscout Systems Inc (NTCT.O) a déclaré plus tard que l’impact avait été modeste. Lire la suite

Le président de la commission du renseignement du Sénat américain, Mark Warner, s’adressant à Reuters avant que la nouvelle de l’essuie-glace ne soit rendue publique, a déclaré que les actions de déni de services contre l’Ukraine étaient encore « bien en deçà de ce que la Russie pourrait potentiellement déclencher ».

L’Ukraine a subi une série d’attaques numériques que Kiev et d’autres ont imputées à la Russie depuis 2014, lorsque Moscou a annexé la péninsule de Crimée et soutenu une rébellion séparatiste dans l’est de l’Ukraine. Le Kremlin a nié toute implication.

Reportage de Christopher Bing et Jonathan Landay à Washington; Maria Tsvetkova et Natalia Zinets à Kiev ; et James Pearson et Raphael Satter à Londres ; Écrit par Raphael Satter; Montage par Alex Richardson, Grant McCool et Daniel Wallis

Nos normes : Les principes de confiance de Thomson Reuters.