Microsoft a averti samedi soir qu'il avait détecté une forme hautement destructrice de malware dans des dizaines de réseaux informatiques gouvernementaux et privés en Ukraine. (Crédit image : Reuters)
Écrit par David E. Sanger
Microsoft a averti samedi soir qu'il avait détecté une forme hautement destructrice de malware dans des dizaines d'ordinateurs gouvernementaux et privés réseaux en Ukraine, qui semblaient attendre d'être déclenchés par un acteur inconnu.
Dans un article de blog, la société a déclaré que jeudi – à peu près au même moment où les agences gouvernementales ukrainiennes ont découvert que leurs sites Web avaient été dégradés – les enquêteurs qui surveillent les réseaux mondiaux de Microsoft ont détecté le code.
Microsoft a identifié un logiciel malveillant destructeur unique exploité par un acteur identifié comme DEV-0586 ciblant les organisations ukrainiennes. Activité observée, TTP et IOC partagés dans ce nouveau blog MSTIC. Nous mettrons à jour le blog au fur et à mesure de l'avancement de notre enquête. https://t.co/wBB82gp6TX
— Microsoft Security Intelligence (@MsftSecIntel) 16 janvier 2022
“Ces systèmes couvrent plusieurs organisations gouvernementales, à but non lucratif et de technologie de l'information, toutes basées en Ukraine”, a déclaré Microsoft.
https://images.indianexpress.com/2020/08/1×1.png Top News Right Now
Cliquez ici pour en savoir plus
Dimanche, le conseiller à la sécurité nationale du président Joe Biden, Jake Sullivan, a déclaré que le gouvernement examinait le code signalé pour la première fois par Microsoft. “Nous avons averti pendant des semaines et des mois, à la fois publiquement et en privé, que les cyberattaques pourraient faire partie d'un effort russe à grande échelle pour s'intensifier en Ukraine”, a déclaré Sullivan sur “Face the Nation” de CBS, notant la longue histoire de la Russie. utilisant des cyberarmes contre le réseau électrique ukrainien, les ministères et les entreprises commerciales.
Mais il a averti que “nous n'avons pas encore spécifiquement attribué cette attaque” et que Microsoft et d'autres entreprises ne l'ont pas fait non plus. “Mais nous travaillons dur sur l'attribution”, a-t-il déclaré, ajoutant que “cela ne me surprendrait pas du tout si cela finit par être attribué à la Russie”.
Le code semble avoir été déployé autour du fois que les diplomates russes, après trois jours de réunions avec les États-Unis et l'OTAN au sujet du rassemblement des troupes russes à la frontière ukrainienne, ont déclaré que les pourparlers étaient essentiellement dans une impasse.
Les responsables ukrainiens ont d'abord accusé un groupe en Biélorussie d'avoir dégradé les sites Web de leur gouvernement, bien qu'ils aient déclaré soupçonner une implication russe. Dimanche, l'Associated Press a rapporté que le ministère du Développement numérique avait déclaré dans un communiqué qu'un certain nombre d'agences gouvernementales avaient été frappées par des logiciels malveillants destructeurs, vraisemblablement le même code que celui signalé par Microsoft.
“Toutes les preuves indiquent que la Russie est derrière la cyberattaque”, indique le communiqué. “Moscou continue de mener une guerre hybride et renforce activement ses forces dans les espaces de l'information et du cyberespace.”
Mais le ministère n'a fourni aucune preuve, et l'attribution précoce des attaques est souvent erronée ou incomplète.
Microsoft a déclaré qu'il ne pouvait pas encore identifier le groupe à l'origine de l'intrusion, mais qu'il ne s'agissait pas d'un attaquant que ses enquêteurs avaient déjà vu.
Le code, tel que décrit par les enquêteurs de l'entreprise, est censé ressembler à un rançongiciel : il gèle toutes les fonctions et données de l'ordinateur et exige un paiement en retour.
Mais il n'y a pas d'infrastructure pour accepter de l'argent, ce qui conduit enquêteurs pour conclure que l'objectif est d'infliger un maximum de dégâts, pas de récolter de l'argent.
Il est possible que le logiciel destructeur ne se soit pas répandu trop largement et que la divulgation de Microsoft rende plus difficile la métastase de l'attaque. Mais il est également possible que les attaquants lancent maintenant le logiciel malveillant et tentent de détruire autant d'ordinateurs et de réseaux que possible.
“Nous l'avons rendu public afin de donner au gouvernement, aux organisations et aux entités en Ukraine la chance de trouver le logiciel malveillant et d'y remédier », a déclaré Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, qui dirige les efforts de l'entreprise pour détecter et contrer les attaques. , la Russie déplace plus de troupes
Dans ce cas, a-t-il déclaré, les enquêteurs de l'unité de cybercriminalité de l'entreprise ont constaté une action inhabituelle dans les réseaux qu'elle surveille habituellement.
Des avertissements comme celui de Microsoft peuvent aider à faire avorter une attaque avant qu'elle ne se produise, si les utilisateurs d'ordinateurs cherchent à déracinez le logiciel malveillant avant qu'il ne soit activé. Mais cela peut aussi être risqué.
L'exposition change le calcul pour l'auteur, qui, une fois découvert, peut n'avoir rien à perdre en lançant l'attaque, pour voir quelle destruction elle cause.
Jusqu'à présent, rien ne prouve que le logiciel malveillant destructeur ait été déclenché par les pirates qui l'ont placé dans les systèmes ukrainiens. Mais Sullivan a déclaré qu'il était important d'abord d'obtenir une conclusion définitive sur la source de l'attaque, lorsqu'on lui a demandé si les États-Unis commenceraient à invoquer des sanctions financières et technologiques si les attaques de la Russie se limitaient au cyberespace, plutôt qu'à une invasion physique. p>
“S'il s'avère que la Russie frappe l'Ukraine avec des cyberattaques”, a-t-il déclaré, “et si cela continue au cours de la période à venir, nous travaillerons avec nos alliés sur la réponse appropriée.”
Sullivan a déclaré que le Les États-Unis avaient travaillé avec l'Ukraine pour renforcer ses systèmes et ses réseaux américains si la série de rançongiciels et d'autres attaques russes s'accélérait aux États-Unis.
Pour le président russe Vladimir Poutine, l'Ukraine a souvent été un test portée pour les cyber-armes.
Une attaque contre la Commission électorale centrale ukrainienne lors d'une élection présidentielle en 2014, au cours de laquelle la Russie a cherché en vain à modifier le résultat, s'est avérée être un modèle pour les agences de renseignement russes ; les États-Unis ont découvert plus tard qu'ils avaient infiltré les serveurs du Comité national démocrate aux États-Unis.
En 2015, la première des deux attaques majeures contre le réseau électrique ukrainien a éteint les lumières pendant des heures dans différentes parties du pays, y compris à Kiev, la capitale.
Et en 2017, des entreprises et des agences gouvernementales ukrainiennes ont été touchées par un logiciel destructeur appelé NotPetya, qui exploitait des failles dans un type de logiciel de préparation des déclarations de revenus largement utilisé dans le pays.
L'attaque a mis fin à des pans entiers du l'économie et a également frappé FedEx et la compagnie maritime Maersk ; Les responsables du renseignement américain l'ont ensuite retracé jusqu'à des acteurs russes.
Ce logiciel, du moins dans sa conception globale, ressemble quelque peu à ce que Microsoft a mis en garde samedi.
La nouvelle attaque effacerait les disques durs et détruirait les fichiers. Certains experts de la défense ont déclaré qu'une telle attaque pourrait être le prélude à une invasion terrestre par la Russie.
D'autres pensent qu'elle pourrait se substituer à une invasion, si les attaquants pensaient qu'une cyberattaque ne déclencherait pas le type d'attaques financières et sanctions technologiques que Biden s'est engagé à imposer en réponse.
John Hultquist, l'un des principaux analystes du cyber-renseignement chez Mandiant, a déclaré dimanche que son entreprise avait dit à ses clients “de se préparer à des attaques destructrices, y compris des attaques qui sont conçus pour ressembler à des rançongiciels.”
Il a noté que l'unité de piratage russe connue sous le nom de Sandworm, qui est depuis étroitement liée à l'agence de renseignement militaire russe, le GRU, avait passé ces dernières années à développer “des moyens plus sophistiqués d'attaque des infrastructures critiques”, y compris dans le réseau électrique ukrainien.
“Ils ont également perfectionné la fausse attaque de ransomware”, a déclaré Hultquist, faisant référence à des attaques censées, au début, ressembler à un effort d'extorsion criminelle, mais qui visent en réalité à détruire des données ou à paralyser un service public d'électricité, un système d'approvisionnement en eau ou en gaz. ou un ministère du gouvernement.
“Ils faisaient ça avant NotPetya, et ils ont essayé plusieurs fois après”, a-t-il ajouté.
- Le site Web d'Indian Express a été évalué VERT pour sa crédibilité et sa fiabilité par Newsguard, un service mondial qui évalue les sources d'information en fonction de leurs normes journalistiques.
