ukraine malware russie

Cyber-guerre : l’Ukraine frappée par les hackers, la Russie principale suspecte

L’Ukraine est actuellement ciblée par une cyberattaque massive. Les sites web du gouvernement ont été piratés, et un malware de destruction de données a été détecté par Microsoft. Selon le gouvernement ukrainien, tout laisse penser que la Russie est responsable de cet assaut.

Stupeur en Ukraine. Le 15 janvier 2021, de nombreux sites web du gouvernement ont été pris pour cible par une cyberattaque. Les sites du ministère des Affaires étrangères et de différentes institutions ont notamment été touchés.

Selon le service de renseignements ukrainien, plus de 70 sites web d’autorités centrales et régionales ont été affectés. Les sites web des ministères de l’Éducation, des Affaires étrangères, du Sport, de l’Énergie, de l’Environnement ou encore le trésor public ont été ciblés.

ukraine malware

À la place des pages d’accueil de ces sites, un message menaçant conseille aux Ukrainiens «  d’avoir peur et de s’attendre au pire « . Selon ce message, les données personnelles des Ukrainiens ont été piratées. Le service de sécurité de l’Ukraine conteste toutefois cette fuite de données. En dehors des  » messages provocants postés sur les pages principales « , le contenu des sites web n’a pas été modifié.

Selon la branche cybersécurité de Cisco, Talos, il semblerait que tous les sites web impactés aient été développés par l’entreprise Kitsoft. Le CEO de la firme ukrainienne, Oleksandr Iefremov, déclare  » travailler activement à la restauration  » des sites web gouvernementaux dont il est en charge. La plupart des ressources affectées ont déjà été restaurées.

Une cyberattaque massive orchestrée par la Russie ?

L’Ukraine estime que la Russie est le principal suspect derrière cette attaque. Selon Oleg Nikolenko, porte-parole du ministère des Affaires étrangères,  » l’enquête se poursuit, mais le Service de Sécurité d’Ukraine a déjà obtenu des indices suggérant que des groupes de hackers affiliés aux services secrets russes se cachent derrière cette cyberattaque massive « .

Le message affiché sur les sites web impactés indique aussi que l’attaque a été menée au nom de la Galicia, la Volhynie et la Polesie : trois régions défendues par les groupes ultranationalistes UIA et OUN pendant la période soviétique. Ces groupes sont également mentionnés par les hackers. Tout porte à croire que la Russie est derrière cette offensive.

Cette attaque n’a pour l’instant pas eu d’impact majeur, mais s’inscrit symboliquement dans un contexte tendu. Les négociations ont pris cours toute la semaine passée entre l’OTAN, l’OSCE, la Russie et les États-Unis afin d’atténuer les tensions à la frontière ukrainienne.

Selon le ministère de l’Information ukrainien, ce n’est d’ailleurs  » pas la première fois ni même la seconde fois que les ressources internet de l’Ukraine sont attaquées depuis le début de l’agression militaire russe « .

En 2015 et 2016, des cyberattaques vraisemblablement menées par la Russie ont coupé l’électricité dans plusieurs zones de l’Ukraine. Le malware NotPetya a aussi été déployé en 2017 sur un logiciel de comptabilité ukrainien, avant de se propager à l’internationale en affectant des multinationales.

La tension est à son comble, alors que la Russie craint que l’Ukraine rejoigne l’OTAN. Elle continue d’amasser des troupes près de la frontière ukrainienne, et le risque d’une invasion dans les semaines à venir semble à son paroxysme. Les puissances occidentales ont averti la Russie à maintes reprises et l’ont sommé de cesser toute escalade.

De son côté, le Kremlin nie toute préméditation d’attaque et se défend en affirmant que le soutien de l’OTAN à l’Ukraine représente une menace pour le flanc ouest de la Russie. L’organisation fournit notamment des armes et des entraînements militaires aux Ukrainiens.

Selon la Russie, les négociations avec l’OTAN et les États-Unis ont été avortées à cause du refus de garantir que l’Ukraine ne rejoindra jamais l’OTAN et que l’alliance renonce à s’étendre en Europe de l’Est. Une  » ligne rouge  » à ne pas franchir d’après le ministre des affaires étrangères russe, Sergey Lavrov, affirmant que le but de ces propositions est de «  réduire le risque de confrontation militaire « .

Un malware destructeur découvert par Microsoft

Au lendemain de l’attaque menée contre les sites web, un malware destructeur et capable d’effacer les données vient d’être découvert sur des dizaines d’ordinateurs en Ukraine. Ce sont les chercheurs de Microsoft qui ont détecté cette grave menace, impactant aussi bien les entreprises que les institutions gouvernementales.

Dans un billet publié sur son blog, Microsoft explique que ce code malveillant  » destructeur  » représente «  un risque élevé pour toute agence gouvernementale, organisation ou entreprise située en Ukraine ou ayant des systèmes en Ukraine « .

Selon les chercheurs, le code a été conçu pour ressembler à un ransomware. Toutefois, il lui manque certaines caractéristiques communes aux rançongiciels. Il s’agit d’une combinaison entre MBRLocker et un malware de corruption de données.

Cette nouvelle famille de malwares a été dénommée  » WhisperGate « . L’attaque repose sur deux composants. Le premier sert à afficher une note de rançon, mais la même adresse Bitcoin est donnée à chaque victime. Il n’y a pas non plus de méthode permettant d’entrer la clé de déchiffrement. Tout laisse penser que ce faux ransomware est en réalité conçu pour la destruction des données.

Le second composant est exécuté simultanément, et télécharge un malware de destruction de données appelé  » Tbopbh.jpg « . Ce malgiciel est hébergé sur Discord, et écrase les fichiers ciblés pour les remplacer par des données statiques. Chaque fichier est ensuite renommé aléatoirement.

Les menaces des hackers concernant les données des Ukrainiens n’étaient donc pas un coup de bluff. Le malware identifié par Microsoft pourrait bel et bien mettre les menaces à exécution.

Cet incident démonter que l’espace cyber est désormais un champ de bataille à part entière. La destruction de données personnelles peut avoir le même impact qu’un bombardement sur des infrastructures. Il est donc indispensable pour les grandes puissances militaires d’investir massivement dans la cybersécurité…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest