Préparez-vous pour Armageddon : la tactique de l’Ukraine contre les hackers russes


Pendant des années, une petite équipe ukrainienne disparate comprenant des experts en informatique, des agents du renseignement et un procureur pénal a gardé un œil attentif sur un groupe de pirates surnommé Armageddon.

Les pirates étaient basés en Crimée, protégés par le gouvernement russe, qui s’était emparé de la région en 2014, et hors de portée des services de sécurité ukrainiens.

L’équipe ukrainienne a regardé Armageddon de loin pour apprendre les voies de son ennemi. Il a discrètement étudié les cyber-armes du groupe de piratage, intercepté des appels téléphoniques et même démasqué ses prétendus dirigeants.

Armageddon n’est pas le plus sophistiqué des groupes de piratage affiliés au gouvernement russe qui ont attaqué l’Ukraine, mais il est parmi les plus prolifiques. En 5 000 tentatives différentes, il a déclenché des logiciels malveillants toujours plus efficaces, cachés dans des e-mails intelligemment conçus pour espionner les organes gouvernementaux ukrainiens.

Mais après l’invasion de la Russie le 24 février, ses dernières attaques ont été parées grâce, en grande partie, à la connaissance approfondie de l’Ukraine des mouvements emblématiques d’Armageddon.

« Quel est le meilleur moment pour étudier votre ennemi ? Bien avant le combat », a déclaré un responsable occidental qui a demandé à ne pas être nommé. « Cela est particulièrement vrai lorsque vous n’avez pas d’autre choix que de réagir. »

Selon des responsables occidentaux et ukrainiens, ainsi que des experts en cybersécurité, le suivi et la lutte de longue date contre Armageddon ne sont qu’un exemple d’une « défense persistante » qui a permis à l’Ukraine de repousser un nombre incroyable de cyberattaques ces dernières semaines.

Cela a permis au pays de faire preuve de la même résilience en ligne que ses troupes sur le terrain. Cette ténacité résulte d’années de préparation et parfois de récupération de cyberattaques russes sophistiquées, dont une qui a coupé l’alimentation électrique de certaines banlieues de Kiev en 2015.

Un an plus tard, l’amiral à la retraite de la marine américaine Michael Rogers, qui dirigeait le US Cyber ​​Command et était l’ancien chef de la National Security Agency, a envoyé les premières équipes de soldats américains pour aider à renforcer les cyberdéfense ukrainiennes. Il a déclaré que les missions permettaient aux Américains de simultanément « regarder l’artisanat russe, regarder les logiciels malveillants russes, regarder les détails de la façon dont les cyber-entités russes ont tendance à fonctionner ».

Plus tôt ce mois-ci, cette préparation a porté ses fruits. Des responsables ukrainiens, aidés par des sociétés de cybersécurité occidentales, ont découvert des logiciels malveillants de haute qualité provenant d’un autre groupe de piratage, surnommé Sandworm, caché dans les ordinateurs d’une centrale électrique desservant des millions de personnes.

Il avait été programmé pour commencer à supprimer des fichiers le 8 avril, répétant les piratages réussis des réseaux électriques ukrainiens en 2015 et 2016, également par Sandworm, qui est lié au GRU, l’agence de renseignement militaire russe.

« C’était une étape importante, voir le Sandworm enfin relever la tête », a déclaré Max Heinemeyer, un ancien hacker qui travaille maintenant chez Darktrace, le groupe de cybersécurité.

Avec Armageddon, les Ukrainiens ont appliqué la même tactique : observer, apprendre et se préparer.

« Vous devez connaître vos ennemis pendant des années, afin de pouvoir anticiper leurs actions », a déclaré Shmuel Gihon, chercheur en sécurité chez Cyberint, basé en Israël. Armageddon est un adversaire sérieux, dit-il, « parmi les plus talentueux ».

À un moment donné, l’équipe ukrainienne a intercepté – et diffusé sur YouTube – des appels téléphoniques entre deux hommes qu’ils ont ensuite identifiés comme des agents de la sécurité intérieure russe se plaignant de leurs primes annuelles et ne recevant pas de médailles et discutant d’un piratage spécifique qui leur avait permis de récupérer les données. une clé USB cryptée dans les quelques secondes où elle a été connectée à un ordinateur. Deux responsables occidentaux ont confirmé l’authenticité des appels.

La tactique d’Armageddon a consisté à marier une vieille astuce – inciter quelqu’un sur un réseau gouvernemental à cliquer sur une pièce jointe à un e-mail – avec des versions de plus en plus sophistiquées de logiciels malveillants. Le but du groupe de piratage n’est pas de détruire. Il s’agit de se cacher au sein des organisations et de recueillir des informations.

Au fil des ans, Armageddon a ciblé 1 500 institutions ukrainiennes. Les responsables de Kiev ne diraient pas combien ont réussi.

Au cours des dernières semaines, selon des responsables ukrainiens, des courriels supposés provenir d’Armageddon ont imité des communiqués officiels concernant des navires entrant dans les ports de Crimée, des listes d’équipements militaires demandés par l’Ukraine et une liste de criminels de guerre russes identifiés par les autorités ukrainiennes.

Dans un cas suspect, qui fait toujours l’objet d’une enquête, l’attachement a promis de lever le voile sur l’un des secrets d’État de l’Ukraine et d’apaiser l’anxiété de toute personne ayant de la famille dans l’effort de guerre.

La pièce jointe était intitulée « Informations sur les pertes de l’armée ukrainienne », selon Yurii Shchyhol, le chef du Service d’État de la communication spéciale et de la protection de l’information de l’Ukraine. « Ce sont des informations qui seront lues par presque toutes les personnes impliquées dans les hostilités aujourd’hui », a-t-il déclaré.

En cliquant sur ces e-mails, le malware inédit, surnommé Pseudosteel, a saisi subrepticement du texte, des PDF, des PowerPoint et d’autres fichiers, et en a envoyé des copies à un serveur distant, selon une analyse du malware réalisée pour le Financial Times par Dick O’Brien, analyste principal du renseignement au sein de l’équipe Threat Hunter de Symantec basée aux États-Unis.

Symantec a découvert, par exemple, que celui qui a créé le logiciel malveillant était un récupérateur prudent. L’attaquant savait, par exemple, que certains des ordinateurs infectés pouvaient avoir partitionné leurs disques durs et ainsi appris au logiciel malveillant à rechercher des fichiers dans ces zones isolées.

Pourtant, Pseudosteel a des défauts évidents. Ses créateurs ont oublié que tous les ordinateurs infectés ne disposent pas du fichier spécifique nécessaire pour exécuter le logiciel malveillant avec succès. En fait, a déclaré O’Brien, seule une minorité d’entre eux le feraient, ce qui rendrait le malware moins efficace que prévu.

De plus, la rétro-ingénierie de Pseudosteel par Symantec signifie qu’il est moins susceptible d’échapper aux logiciels antivirus avancés.

Mais Armageddon est devenu plus inventif ces derniers temps. Les pirates ont récemment écrit 100 versions différentes d’une «porte dérobée de cheval de Troie», ou un logiciel malveillant conçu pour accorder un accès indésirable pour lancer une attaque à distance. Ils semblent également avoir fait des efforts pour infecter le même ordinateur avec divers logiciels malveillants afin d’éviter d’être découverts.

« C’est l’équivalent cybernétique d’essayer de submerger les défenses avec la force du nombre », a déclaré O’Brien.

Mais les défenses ukrainiennes ont montré leur capacité à résister aux techniques de tir rapide d’un groupe comme Armageddon.

« Vous avez vu [the Ukrainians], au fil du temps, développer une plus grande expertise, capacité, connaissances et expérience », a déclaré Rogers, l’ancien chef du Cyber ​​​​Command américain. « Et vous voyez que cela se joue maintenant. Il faut leur rendre hommage : ils ont résisté à de nombreuses activités russes dirigées contre eux.

Vidéo : la bataille des ondes en Ukraine

#techFT

#techFT vous apporte des nouvelles, des commentaires et des analyses sur les grandes entreprises, les technologies et les problèmes qui façonnent ce mouvement le plus rapide des secteurs par des spécialistes basés dans le monde entier. Cliquez ici pour obtenir #techFT dans votre boîte de réception.



ttn-fr-56