Une cyberattaque de grande ampleur a visé l’Ukraine peu avant le lancement de l’offensive terrestre. Un nouveau malware en préparation depuis des mois semble témoigner que l’opération a été orchestrée longtemps à l’avance.
au sommaire
En parallèle de ses attaques physiquesphysiques sur le pays, la Russie se livre à une véritable cyberguerre contre l’Ukraine. Le pays semble avoir bien préparé sa guerre hybridehybride à l'avance, comme en témoigne l'utilisation d'un tout nouveau malware de type « wiper ». Il a été signalé par les chercheurs en cybersécurité de Symantec et d'ESET, et baptisé HermeticWiper ou TrojanTrojan.Killdisk.
L'intention cette fois n'est pas d'interrompre temporairement certains services, ni la désinformation, mais bel et bien la destruction de données. Un wiper est un type particulier de malware dont la seule fonction est d'effacer le contenu du disque dur, supprimant les données et endommageant le système d'exploitation. L'appareil ne pourra ainsi plus démarrer sans une réinstallation complète. Le malware cible notamment les institutions financières ainsi que les entreprises travaillant pour le gouvernement. Toutefois, il ne vise pas uniquement des cibles en Ukraine. Des organisations en Lettonie et Lituanie ont également été victimes du wiper.
Une attaque qui cible les réseaux informatiques des organisations
HermeticWiper a été ainsi nommé car son fichier exécutable est signé par un certificat attribué à Hermetica DigitalDigital Ltd. Les spécialistes sont encore en train d'analyser le programme, mais ils ont pu déterminer qu'il utilise un pilote signé par un certificat du logiciel EaseUS PartitionPartition Master installé en tant que service Windows. Le malware va ensuite corrompre les fichiers sur le disque dur et endommager la table de partitions et le Master Boot Record (MBRMBR), la zone d'amorçage du disque dur. La dernière étape est de relancer la machine qui ne pourra pas démarrer.
Dans au moins une des attaques, les hackers n'ont pas ciblé des ordinateursordinateurs individuels. Ils ont directement utilisé le contrôleur de domaine pour distribuer le malware. « Dans l'une des organisations ciblées, le wiper a été installé via le GPO (stratégie de domaine) par défaut, ce qui signifie que les attaquants avaient probablement pris le contrôle du serveurserveur Active Directory », a affirmé ESET dans une série de tweets.
Une offensive préparée à l’avance
Les auteurs du malware semblent avoir préparé leur attaque depuis des mois. La date de compilation d'un des échantillons du malware est le 28 décembre 2021. Toutefois, une organisation en Lituanie a été visée par HermeticWiper dès ce mardi 22 février, et le terrain semble avoir été préparé bien à l'avance. Les premières traces d'infiltration dans leur réseau remontent au 12 novembre 2021, mais aucune action n'a été prise pendant plusieurs mois jusqu'à l'installation du malware.
Une autre particularité de cette attaque est qu'un ransomwareransomware (ou rançongiciel) a été déployé en parallèle, sans doute pour faire diversion et mieux cacher le wiper. Il s'agit de la même stratégie de l'attaque en janvier, baptisé WhisperGate, qui a également tenté de cacher un malware de type wiper derrière un ransomware. Ce nouveau wiper a toutefois été conçu pour être beaucoup plus dévastateur.