Ukraine : comment la France et l'OTAN gèrent le volet cyber

Situation pour nos ressortissants à Kiev, soutien humanitaire aux populations ukrainiennes, coordination européenne pour la fourniture d'armes... Autant de points que Jean-Yves Le Drian a abordés ce lundi matin au sortir d'un Conseil de défense. Mais pas un mot sur le risque cyber. Bruno Le Maire, qui l'accompagnait, n'en a pas dit davantage à ce sujet, embrayant sur les sanctions économiques et financières.

EN DIRECT | Compte rendu du Conseil de défense sur la situation en Ukraine par Jean-Yves Le Drian, ministre de l'Europe et des Affaires étrangères, et Bruno Le Maire, ministre de l'Économie, des Finances et de la Relance. https://t.co/wqFHUXxG8v

- Élysée (@Elysee) February 28, 2022

Rien de plus à signaler sur le volet cyber du côté de Cédric O. Ce lundi, le discours du secrétaire d'État au numérique se concentre sur la lutte contre la propagande russe en ligne. En toile de fond, l'adoption d'un paquet de sanctions par l'Union européenne.

Réunion avec les réseaux sociaux et les moteurs de recherche pour discuter de l'opérationnalisation de la lutte contre la propagande russe en ligne, et des sanctions annoncées hier soir par @vonderleyen contre les médias financés par la Russie #RussiaToday et #Sputnik. #Ukraine pic.twitter.com/xjp8FuiBS4

- Cédric O (@cedric_o) February 28, 2022

Vers des ripostes de l'OTAN ?

Il n'y a pas qu'au Gouvernement qu'on reste muet sur les canaux officiels. Du côté de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), la dernière - et unique - communication publique remonte au 23 février, dans la lignée du lancement de l'offensive terrestre russe. Le message, dans les grandes lignes : nous n'avons détecté, en France, aucune cybermenace en lien avec les récents événements ; mais restez vigilants.

Certaines homologues de l'ANSSI en disent davantage. À commencer par la CISA (Computer Information Security Agency). L'agence américaine a notamment dégainé une initiative « Shields Up ». Par cet intermédiaire, elle invite toute organisation à se préparer à d'éventuelles « perturbations cyber », a fortiori des suites des sanctions prises contre la Russie. On est là purement dans une logique de défense. À l'appui, entre autres, d'une « boîte à outils » récemment mise à disposition.

Des rumeurs d'action offensive de la part des États-Unis ont émergé. En tête de liste, les propos d'un correspondant de Reuters. La Maison Blanche les a formellement démentis.

BIDEN HAS BEEN PRESENTED WITH MENU OF OPTIONS FOR CYBERATTACKS DESIGNED TO DISRUPT RUSSIA'S ABILITY TO SUSTAIN MILITARY OPERATIONS IN UKRAINE -NBC NEWS

- Phil Stewart (@phildstewart) February 24, 2022

This report on cyber options being presented to @POTUS is off base and does not reflect what is actually being discussed in any shape or form.

- Jen Psaki (@PressSec) February 24, 2022

Des prémices cyber en janvier

La CISA s'était déjà fendue, en début d'année, d'une alerte au sujet des cybermenaces origine Russie. Dans son collimateur, les infrastructures critiques - on se souviendra de l'épisode Colonial Pipeline, attribué au Kremlin.

L'alerte avait fait l'objet d'une mise à jour fin janvier. Et pour cause : la menace était devenue plus tangible. Pas aux États-Unis, mais en Ukraine, où on avait pu constater des défacements de sites d'État, conjugués à l'injection d'un wiper (malware destructeur de disques) « déguisé » en ransomware.

D'autres défacements de sites de l'appareil d'État ukrainien ont suivi. En particulier à la mi-février. Avec, parmi les victimes, les ministères de la Défense et des Affaires étrangères. Ainsi que plusieurs banques publiques, en tête desquelles Privatbank et Oschadbank. Quelques jours plus tard, la Maison Blanche a attribué les faits au renseignement russe. Preuves techniques à l'appui, a-t-elle affirmé. Son homologue britannique a fait de même.

Parallèlement à l'attaque contre les banques a eu lieu un envoi massif de SMS à la population. Le message : n'essayez pas d'utiliser les distributeurs de billets de Privatbank, ils sont hors service. La police cyber ukrainienne est intervenue pour signaler qu'il s'agissait d'une fausse information.

???????????? ?????????? ????, ????????? ?? ?????????? ???-??????????? ???? ????? ? ?????? ??????????

?????????? ??? ???????? ???????????? ??????????, ???????? ????? ????-????????, ?? ?????????? ?????????.

??????: https://t.co/Nxe2hAhcc0 pic.twitter.com/HN7PWaHGxx

- Cyberpolice Ukraine (@CyberpoliceUA) February 15, 2022

HermeticWiper et Cyclops Blink : le coeur du réacteur

Les attaques par déni de service (DoS) se sont poursuivies. Le 23 février, elles ont atteint un pic suffisamment important pour que le vice-Premier ministre lance un avertissement. Au rang des victimes, des sites dépendant du Parlement, des services nationaux de sécurité ou encore du cabinet des ministres.

Le même jour, on découvrait deux malwares... qui apparaissent toujours, à l'heure actuelle, comme les socles de l'offensive cyber en Ukraine. Et semble-t-il un peu au-delà. On les a baptisés HermeticWiper et Cyclops Blink.

Le premier est, comme son nom l'indique, un wiper. Il n'a pas de code en commun avec celui de janvier, en tout sur la foi de l'échantillon qu'a analysé IBM X-Force. Il a, en revanche, un comportement similaire. Ne serait que parce qu'il implique un ransomware - PartyTicket - qui paraît lui aussi surtout servir à faire diversion. Il fonctionne effectivement dans le contexte de privilèges de l'utilisateur, sans possibilité de les élever.

Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n

- ESET research (@ESETresearch) February 23, 2022

INTER

HermeticWiper utilise un certificat émis le 15 avril 2021. Il exploite un pilote légitime (du logiciel EaseUS Partition Manager) pour corrompre les 512 premiers octets du secteur d'amorçage des disques. Les machines infectées se compteraient par centaines. Dont certaines hors du territoire ukrainien (Lettonie et Lituanie).

L'activité de HermeticWiper a peut-être démarré dès novembre 2021. Symantec, en tout cas, recense un cas dans lequel le déploiement du wiper (23 janvier) a été précédé de la mise en place d'un webshell (16 janvier). L'accès au réseau ciblé était ouvert depuis fin 2021, par le biais d'une des failles Exchange alors largement médiatisées.

Update: Symantec now says they have seen targets of the new wiper attack in Ukraine, Latvia AND Lithuania. Targets include finance and government contractors, Symantec says. https://t.co/fIagH5u6SM

- Dustin Volz (@dnvolz) February 23, 2022

Qu'en est-il de Cyclops Blink ? On le décrit comme le successeur de VPNfilter. Sa principale fonction : exfiltrer des données sur des équipements réseau. Pour le moment, on ne l'a détecté que sur des firewalls Watchguard (appliances Firebox). Il est néanmoins modulaire, ce qui laisse craindre des infections plus larges.

Au souvenir de NotPetya et BlackEnergy

Derrière Cyclops Blink, il y aurait une équipe bien connue : Sandworm / Voodoo Bear, dite affiliée au renseignement militaire russe. On lui a attribué des attaques d'ampleur. Dont BlackEnergy (mise hors service d'une partie du réseau électrique ukrainien en 2015) et NotPetya.

Quant à savoir quel est le vecteur de diffusion de Cyclops Blink, le CERT ukrainien penche pour Katana. Le code source de cette variante du botnet Mirai dotée de capacités DDoS améliorées se trouve pour moins de 1000 $.

Watchguard estime que le malware a touché environ 1 % de ses pare-feu actifs. Leur point commun : tous avaient été paramétrés pour être administrables via le réseau internet. L'éditeur a mis à disposition des indicateurs de compromission et des méthodes de résorption de la vulnérabilité.

Des IoC, on en trouve aussi sur le GitHub d'Orange Cyberdefense. Autant pour HermeticWiper que pour Cyclops Blink. On pourra y assortir des règles YARA pour la détection et l'élimination de ces souches malveillantes.

L'Ukraine monte son « armée IT »

Au surlendemain de ces découvertes, le collectif Anonymous s'est officiellement déclaré « en guerre » contre le régime russe. Plusieurs de ses affiliés ont revendiqué des attaques - et des exfiltrations de données - contre Moscou. Le groupe Conti, qui porte le ransomware du même nom, a répliqué, en deux temps, se disant finalement prêt à réagir à d'éventuelles velléités offensives occidentales. D'autres groupes, comme Lockbit 2.0, jouent la neutralité.

No. Anonymous is not at war with Russia. We are at war with Putin. The Russian people do not support Putin's war of aggression against the Ukrainian people.
Be wary of accounts posting false statements who are not even involved in actions against Putin.https://t.co/ropo70YTCR

- Anonymous (@YourAnonNews) February 26, 2022

Du côté du gouvernement ukrainien, on ne sollicite pas publiquement d'aide cyber d'autres nations. Mais on a décidé de créer une « armée IT ». Et on a listé une trentaine de cibles d'intérêt côté russe.

We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.

- Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022

La faible probabilité que la Russie attaque directement des pays membres de l'OTAN, y compris sur le terrain cyber, engendre un certain consensus. Vladimir Poutine prendrait effectivement un risque substantiel au nom de l'article V du traité fondateur. Qu'on pourrait résumer ainsi : « attaquer l'un d'entre nous, c'est nous attaquer tous ».

Photo d'illustration © jcjgphotography - Shutterstock