BOSTON (AP) – Les sites Web des ministères ukrainiens de la défense, des affaires étrangères et de l’intérieur étaient inaccessibles ou extrêmement lents à se charger jeudi matin après une vague d’attaques par déni de service distribué alors que la Russie frappait son voisin, des explosions secouant la capitale de Kiev et d’autres grandes villes.
En plus des attaques DDoS mercredi, des chercheurs en cybersécurité ont déclaré que des attaquants non identifiés avaient infecté des centaines d’ordinateurs avec des logiciels malveillants destructeurs, certains en Lettonie et en Lituanie voisines.
Interrogé sur la poursuite des attaques par déni de service jeudi matin, le haut responsable ukrainien de la cyberdéfense Victor Zhora n’a pas répondu. “Êtes-vous sérieux?” il a envoyé un texto. “Il y a des missiles balistiques ici.”
“C’est terrible. Nous avons besoin que le monde l’arrête. Immédiatement », a déclaré Zhora à propos de l’offensive annoncée par le président russe Vladimir Poutine avant l’aube.
Les responsables s’attendent depuis longtemps à ce que les cyberattaques précèdent et accompagnent toute incursion militaire russe. La combinaison d’attaques DDoS, qui bombardent les sites Web avec du trafic indésirable pour les rendre inaccessibles, et d’infections par des logiciels malveillants correspond au livre de jeu de la Russie sur les cyber-opérations de mariage avec une agression dans le monde réel.
Laboratoires de recherche ESET a déclaré avoir détecté mercredi un logiciel malveillant d’effacement de données inédit sur “des centaines de machines dans le pays”. On ne sait pas combien de réseaux ont été touchés.
“En ce qui concerne la capacité d’effacement du logiciel malveillant, nous supposons que c’était effectivement le cas et que les machines concernées ont été effacées”, a déclaré Jean-Ian Boutin, responsable de la recherche chez ESET. Il n’a pas nommé les cibles, mais a déclaré qu’il s’agissait de “grandes organisations”.
ESET n’a pas été en mesure de dire qui était responsable.
Intelligence des menaces Symantec a détecté trois organisations touchées par le malware d’essuie-glace – des sous-traitants du gouvernement ukrainien en Lettonie et en Lituanie et une institution financière en Ukraine, a déclaré Vikram Thakur, son directeur technique. Les deux pays sont membres de l’OTAN.
“Les attaquants ont poursuivi ces cibles sans trop se soucier de leur emplacement physique”, a-t-il déclaré.
Tous les trois avaient “une affiliation étroite avec le gouvernement ukrainien”, a déclaré Thakur, affirmant que Symantec pensait que les attaques étaient “hautement ciblées”. Il a déclaré qu’environ 50 ordinateurs de la société financière avaient été touchés, certains avec des données effacées.
Interrogé sur l’attaque d’essuie-glace de mercredi, Zhora n’a fait aucun commentaire.
Boutin a déclaré que l’horodatage du malware indiquait qu’il avait été créé fin décembre.
“La Russie planifie probablement cela depuis des mois, il est donc difficile de dire combien d’organisations ou d’agences ont été détournées en préparation de ces attaques”, a déclaré Chester Wisniewski, chercheur principal au sein de la société de cybersécurité Sophos. Il a deviné que le Kremlin avait l’intention avec le logiciel malveillant “d’envoyer le message qu’ils ont compromis une quantité importante d’infrastructures ukrainiennes et ce ne sont que de petits morceaux pour montrer à quel point leur pénétration est omniprésente”.
La nouvelle de l’essuie-glace fait suite à une attaque de la mi-janvier que les responsables ukrainiens ont imputée à la Russie dans laquelle la dégradation de quelque 70 sites Web gouvernementaux a été utilisée pour masquer les intrusions dans les réseaux gouvernementaux dans lesquelles au moins deux serveurs ont été endommagés par des logiciels malveillants d’essuie-glace se faisant passer pour des rançongiciels.
Les cyberattaques ont été un outil clé de l’agression russe en Ukraine depuis avant 2014, lorsque le Kremlin a annexé la Crimée et que des pirates ont tenté de contrecarrer les élections. Ils ont également été utilisés contre l’Estonie en 2007 et la Géorgie en 2008. Leur intention peut être de semer la panique, la confusion et la distraction.
Les attaques par déni de service distribué sont parmi les moins impactantes car elles n’impliquent pas d’intrusion sur le réseau. De telles attaques bloquent les sites Web avec du trafic indésirable afin qu’ils deviennent inaccessibles.
Les cibles DDoS mercredi comprenaient les ministères de la Défense et des Affaires étrangères, le Conseil des ministres et Privatbank, la plus grande banque commerciale du pays. De nombreux sites similaires ont également été mis hors ligne les 13 et 14 février lors d’attaques DDoS que les gouvernements américain et britannique ont rapidement imputées à l’agence de renseignement militaire russe GRU.
Les attaques DDoS de mercredi ont semblé moins percutantes que les attaques précédentes – avec des sites ciblés bientôt de nouveau accessibles – car les intervenants d’urgence les ont émoussés. Le bureau de Zhora, l’agence ukrainienne de protection des informations, a déclaré que les intervenants sont passés à un autre fournisseur de services de protection DDoS.
Doug Madory, directeur de l’analyse Internet de la société de gestion de réseau Kentik Inc., enregistré deux vagues d’attaque chacun durant plus d’une heure.
Un porte-parole de la société californienne Cloudflare, qui fournit des services à certains des sites ciblés, a déclaré mercredi que les attaques DDoS en Ukraine avaient été jusque-là sporadiques mais en augmentation au cours du mois dernier mais “relativement modestes par rapport aux grandes attaques DDoS que nous avons manipulé par le passé. »
L’Occident accuse le GRU russe de certaines des cyberattaques les plus dommageables jamais enregistrées, dont une paire en 2015 et 2016 qui a brièvement détruit des parties du réseau électrique ukrainien et le virus “wiper” NotPetya de 2017, qui a causé plus de 10 milliards de dollars de dégâts dans le monde en infectant les entreprises qui font des affaires en Ukraine avec des logiciels malveillants semés via une mise à jour du logiciel de préparation des déclarations.
Le logiciel malveillant Wiper détecté en Ukraine cette année a jusqu’à présent été activé manuellement, contrairement à un ver comme NotPetya, qui peut se propager de manière incontrôlable au-delà des frontières.
Reference-apnews.com