Un nouveau malware russe, utilisé pour attaquer l’Ukraine, efface les données des ordinateurs. © knssr, Adobe Stock
Tech

Guerre en Ukraine : la Russie utilise un malware encore jamais vu

ActualitéClassé sous :cyberguerre , cybersécurité , Cyberattaques

-

Une cyberattaque de grande ampleur a visé l'Ukraine peu avant le lancement de l'offensive terrestre. Un nouveau malware en préparation depuis des mois semble témoigner que l'opération a été orchestrée longtemps à l'avance.

Cela vous intéressera aussi

[EN VIDÉO] Cyberespionnage : quelles sont les menaces ?  Ingérence dans les élections, vol de données industrielles, piratage de systèmes militaires… Le cyberespionnage a connu une envolée ces deux dernières décennies. 

En parallèle de ses attaques physiques sur le pays, la Russie se livre à une véritable cyberguerre contre l’Ukraine. Le pays semble avoir bien préparé sa guerre hybride à l'avance, comme en témoigne l'utilisation d'un tout nouveau malware de type « wiper ». Il a été signalé par les chercheurs en cybersécurité de Symantec et d'ESET, et baptisé HermeticWiper ou Trojan.Killdisk.

L'intention cette fois n'est pas d'interrompre temporairement certains services, ni la désinformation, mais bel et bien la destruction de données. Un wiper est un type particulier de malware dont la seule fonction est d'effacer le contenu du disque dur, supprimant les données et endommageant le système d'exploitation. L'appareil ne pourra ainsi plus démarrer sans une réinstallation complète. Le malware cible notamment les institutions financières ainsi que les entreprises travaillant pour le gouvernement. Toutefois, il ne vise pas uniquement des cibles en Ukraine. Des organisations en Lettonie et Lituanie ont également été victimes du wiper.

Une attaque qui cible les réseaux informatiques des organisations

HermeticWiper a été ainsi nommé car son fichier exécutable est signé par un certificat attribué à Hermetica Digital Ltd. Les spécialistes sont encore en train d'analyser le programme, mais ils ont pu déterminer qu'il utilise un pilote signé par un certificat du logiciel EaseUS Partition Master installé en tant que service Windows. Le malware va ensuite corrompre les fichiers sur le disque dur et endommager la table de partitions et le Master Boot Record (MBR), la zone d'amorçage du disque dur. La dernière étape est de relancer la machine qui ne pourra pas démarrer.

Dans au moins une des attaques, les hackers n'ont pas ciblé des ordinateurs individuels. Ils ont directement utilisé le contrôleur de domaine pour distribuer le malware. « Dans l'une des organisations ciblées, le wiper a été installé via le GPO (stratégie de domaine) par défaut, ce qui signifie que les attaquants avaient probablement pris le contrôle du serveur Active Directory », a affirmé ESET dans une série de tweets.

Une offensive préparée à l’avance

Les auteurs du malware semblent avoir préparé leur attaque depuis des mois. La date de compilation d'un des échantillons du malware est le 28 décembre 2021. Toutefois, une organisation en Lituanie a été visée par HermeticWiper dès ce mardi 22 février, et le terrain semble avoir été préparé bien à l'avance. Les premières traces d'infiltration dans leur réseau remontent au 12 novembre 2021, mais aucune action n'a été prise pendant plusieurs mois jusqu'à l'installation du malware.

Une autre particularité de cette attaque est qu'un ransomware (ou rançongiciel) a été déployé en parallèle, sans doute pour faire diversion et mieux cacher le wiper. Il s'agit de la même stratégie de l'attaque en janvier, baptisé WhisperGate, qui a également tenté de cacher un malware de type wiper derrière un ransomware. Ce nouveau wiper a toutefois été conçu pour être beaucoup plus dévastateur.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !