Le gouvernement russe a mis en garde jeudi contre les cyberattaques visant les opérateurs nationaux d’infrastructures critiques, alors que l’invasion à grande échelle de l’Ukraine par le pays entre dans le deuxième jour.
En plus de mettre en garde contre la « menace d’une augmentation de l’intensité des attaques informatiques », le Centre national russe de réponse et de coordination des incidents informatiques mentionné que les « attaques peuvent viser à perturber le fonctionnement d’importantes ressources et services d’information, causant des dommages à la réputation, y compris à des fins politiques ».
« Toute défaillance dans le fonctionnement de [critical information infrastructure] Les objets pour une raison qui n’est pas établie de manière fiable doivent avant tout être considérés comme le résultat d’une attaque informatique, a ajouté l’agence.
En outre, il a signalé d’éventuelles opérations d’influence entreprises pour « former une image négative de la Fédération de Russie aux yeux de la communauté mondiale », faisant écho à une alerte similaire publiée par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) la semaine dernière concernant les efforts de manipulation d’informations. d’acteurs étrangers pour frapper des entités critiques.
L’agence, cependant, n’a pas partagé plus de détails sur la nature des attaques ou leur provenance.
L’avis vient comme plusieurs gouvernement et bancaire sites Internet en Russie, y compris celui de l’armée (mil.ru), le Kremlin (kremlin.ru) et la Douma d’État (duma.gov.ru), ont été rendus inaccessibles au milieu d’un vague de cyber-offensives ciblant l’Ukraine qui a entraîné le déploiement d’un effaceur de données appelé HermeticWiper sur des centaines de machines dans la nation d’Europe de l’Est.
« Il est important de noter que l’effaceur exploite des privilèges élevés sur l’hôte compromis pour rendre l’hôte » non amorçable « en remplaçant les enregistrements de démarrage et les configurations, en effaçant les configurations de l’appareil et en supprimant les clichés instantanés », a déclaré Lavi Lazarovitz, responsable de la recherche sur la sécurité chez CyberArk Labs. , a déclaré dans un communiqué partagé avec The Hacker News.
« L’essuie-glace est configuré pour ne pas chiffrer les contrôleurs de domaine – c’est-à-dire pour maintenir le domaine en cours d’exécution et permettre au ransomware d’utiliser des informations d’identification valides pour s’authentifier auprès des serveurs et les chiffrer. Cela souligne en outre que les acteurs de la menace utilisent des identités compromises pour accéder au réseau et / ou se déplacer latéralement », a expliqué Lazarovitz.
Selon Symantec, on ne sait pas combien de réseaux ont été touchés par le logiciel malveillant d’effacement de données inédit, qui ciblait les organisations des secteurs de la finance, de la défense, de l’aviation et de l’informatique. La société appartenant à Broadcom a également déclaré avoir observé des preuves d’attaques d’essuie-glace contre des machines en Lituanie, ce qui implique un effet d’entraînement.
De plus, HermeticWiper partage des chevauchements avec un autre effaceur de données appelé WhisperGate qui a été signalé pour la première fois comme étant utilisé contre des organisations ukrainiennes en janvier. Comme ce dernier, le malware nouvellement découvert s’accompagne de la distribution d’une souche de ransomware sur les systèmes compromis.
le logiciel malveillant de ransomware est un fichier .EXE 64 bits de 3,14 Mo, écrit en Golang, par l’ingénieur de réponse aux incidents de Cybereason, Chen Erlichqui a partagé une analyse préliminaire de l’exécutable.
« Il semble probable que le rançongiciel ait été utilisé comme leurre ou distraction des attaques d’essuie-glace », a déclaré Symantec. mentionné. « Cela présente certaines similitudes avec les précédentes attaques d’essuie-glace WhisperGate contre l’Ukraine, où l’essuie-glace était déguisé en rançongiciel. »
L’analyse médico-légale initiale suggère que les attaques pourraient avoir été en mode de préparation pendant au moins trois mois, avec une activité malveillante potentiellement liée détectée dans une organisation lituanienne dès le 12 novembre 2021. De plus, l’un des échantillons HermeticWiper s’est avéré avoir un horodatage de compilation du 28 décembre 2021.
Bien que les dernières actions perturbatrices n’aient pas encore été officiellement attribuées, les gouvernements britannique et américain ont lié le Attaques DDoS sur l’Ukraine à la mi-février à la Direction principale du renseignement russe (également connue sous le nom de GRU).
Alors que les attaques continuent de se dérouler à la fois dans les domaines physique et numérique, Reuters signalé que le gouvernement ukrainien cherche l’aide de la communauté clandestine des hackers dans le pays pour repousser les cyber-infiltrations visant les infrastructures critiques et mener des missions d’espionnage secrètes contre les forces d’invasion russes.