Microsoft dévoile une attaque de logiciels malveillants sur les réseaux du gouvernement ukrainien
BOSTON — Microsoft a déclaré samedi dernier que des dizaines de systèmes informatiques d’un nombre indéterminé d’agences gouvernementales ukrainiennes ont été infectés par un logiciel malveillant destructeur déguisé en rançongiciel, une révélation qui suggère que l’attaque de défiguration des sites Web officiels, qui a attiré l’attention, était une diversion. L’étendue des dégâts n’a pas été immédiatement précisée.
L’attaque survient alors que la menace d’une invasion russe en Ukraine plane et que les pourparlers diplomatiques visant à résoudre l’impasse tendue semblent dans l’impasse.
Microsoft a déclaré dans un court article de blog, qui équivaut au cliquetis d’une alarme industrielle, qu’elle avait détecté le logiciel malveillant pour la première fois jeudi. Cela coïnciderait avec l’attaque qui a simultanément mis temporairement hors ligne quelque 70 sites Web gouvernementaux.
Cette révélation fait suite à un rapport de Reuters publié plus tôt dans la journée, citant un haut responsable de la sécurité ukrainienne qui affirmait que la dégradation était en fait la couverture d’une attaque malveillante.
Séparément, un haut responsable de la cybersécurité du secteur privé à Kiev a expliqué à l’Associated Press comment l’attaque avait réussi : Les intrus ont pénétré dans les réseaux gouvernementaux par le biais d’un fournisseur de logiciels commun, dans le cadre d’une attaque dite de la chaîne d’approvisionnement, à l’instar de la campagne de cyberespionnage russe SolarWinds de 2020 visant le gouvernement américain.
Microsoft a déclaré dans un autre message technique que les systèmes touchés « couvrent plusieurs organisations gouvernementales, à but non lucratif et informatiques ». L’entreprise a déclaré qu’elle ne savait pas combien d’autres organisations en Ukraine ou ailleurs pouvaient être touchées, mais qu’elle s’attendait à être informée d’autres infections.
« Le logiciel malveillant est déguisé en rançongiciel mais, s’il est activé par l’attaquant, il rendra le système informatique infecté inopérant », a déclaré Microsoft. En bref, il ne dispose pas d’un mécanisme de récupération de la rançon.
Microsoft a déclaré que le logiciel malveillant « s’exécute lorsqu’un périphérique associé est mis hors tension », une réaction initiale typique à une attaque de ransomware.
Microsoft a déclaré qu’il n’était pas encore en mesure d’évaluer l’intention de l’activité destructrice ou d’associer l’attaque à des acteurs de la menace connus. Le responsable de la sécurité ukrainienne, Serhiy Demedyuk, a été cité par Reuter comme ayant déclaré que les attaquants avaient utilisé un logiciel malveillant similaire à celui utilisé par les services de renseignement russes. Il est secrétaire adjoint du Conseil national de sécurité et de défense.
Une enquête préliminaire a conduit le service de sécurité ukrainien, le SBU, à imputer la dégradation du site Web à des « groupes de pirates liés aux services de renseignement russes ». Moscou a nié à plusieurs reprises son implication dans les cyberattaques contre l’Ukraine.
Les tensions avec la Russie ont été vives ces dernières semaines après que Moscou a rassemblé environ 100 000 soldats près de la frontière ukrainienne. Les experts s’attendent à ce que toute invasion ait une composante cybernétique, qui fait partie intégrante de la guerre « hybride » moderne.
Demedyuk a déclaré à Reuters dans des commentaires écrits que la dégradation « n’était qu’une couverture pour des actions plus destructrices qui se déroulaient en coulisses et dont nous ressentirons les conséquences dans un avenir proche ». L’histoire n’a pas donné de détails et Demedyuk n’a pas pu être joint immédiatement pour un commentaire.
Oleh Derevianko, expert du secteur privé et fondateur de la société de cybersécurité ISSP, a déclaré à l’AP qu’il ne connaissait pas la gravité des dommages. Il a ajouté que l’on ne savait pas non plus ce que les attaquants avaient pu faire d’autre après s’être introduits dans KitSoft, le développeur exploité pour semer le malware.
En 2017, la Russie a visé l’Ukraine avec l’une des cyberattaques les plus dommageables jamais enregistrées avec le virus NotPetya, causant plus de 10 milliards de dollars de dommages dans le monde. Ce virus, également déguisé en ransomware, était un « wiper » qui effaçait des réseaux entiers.
L’Ukraine a subi le triste sort d’être le terrain d’essai mondial des cyberconflits. Les pirates informatiques soutenus par l’État russe ont presque fait échouer ses élections nationales de 2014 et ont brièvement paralysé certaines parties de son réseau électrique pendant les hivers 2015 et 2016.
Lors de la défiguration massive du web de vendredi, un message laissé par les attaquants affirmait qu’ils avaient détruit des données et les avaient mises en ligne, ce qui, selon les autorités ukrainiennes, ne s’était pas produit.
Le message disait aux Ukrainiens « d’avoir peur et de s’attendre au pire ».
Les professionnels ukrainiens de la cybersécurité ont fortifié les défenses des infrastructures critiques depuis 2017, avec une aide américaine de plus de 40 millions de dollars. Ils sont particulièrement inquiets des attaques russes contre le réseau électrique, le réseau ferroviaire et la banque centrale.