Cyberattaque en Ukraine : les malwares HermeticWiper et Cyclops Blink visent les PC et leurs données

Alexandre Boero
Chargé de l'actualité de Clubic
25 février 2022 à 12h20
12
© Mikhail Nilov / Pexels
© Mikhail Nilov / Pexels

Les spécialistes de la cybersécurité du globe ont identifié des malwares qui perturbent les infrastructures ukrainiennes et prouvent une fois de plus que la guerre entre l'Ukraine et la Russie, qui suscite la crainte d'une cyberguerre mondiale, ne se joue pas que sur les voies terrestres ou aériennes.

Ces dernières heures, plusieurs nouveaux échantillons de malwares ou logiciels malveillants, parmi lesquels Cyclops Blink et HermeticWiper, ont été repérés. Ils ont pour point commun le fait qu'ils s'attaquent aux appareils d'organisations et infrastructures installées en Ukraine, en exfiltrant et en compromettant les données des PC sur lesquels ils parviennent à s'insérer.

Cyclops Blink, le botnet qui exfiltre les données et bloque les pare-feu

Le premier, Cyclops Blink, a été utilisé contre plusieurs cibles en Ukraine, aussi bien des réseaux que des appareils. Les autorités soupçonnent la Russie d'en être utilisatrice, mais cela pourrait très bien être le fait de patriotes pro-russes qui agiraient de leur propre gré. Nul ne le sait à ce stade. Derrière le botnet, on retrouverait le groupe Sandworm, connu pour ses liens étroits avec le Kremlin, qui a toujours nié être à la manœuvre.

Ces informations sont connues grâce à la transparence de la société américaine WatchGuard, qui fournit des solutions de sécurité et dont les appareils sont ciblés par ce malware. Visiblement, celui-ci est particulièrement robuste, puisqu'il résiste à certaines mesures comme l'arrêt et le redémarrage des systèmes touchés, outre le blocage des pare-feu. Cyclops Blink toucherait 1 % des appliances de pare-feu WatchGuard, et aucun autre produit de la marque n'est touché.

Cyclops Blink est capable de télécharger des fichiers vers et depuis son serveur de commande, et de contrôler, collecter et exfiltrer les informations de l'appareil. Une infection au malware ne signifie pas qu'une organisation est la cible principale, mais ses PC peuvent très bien être utilisés pour mener des attaques contre d'autres par la suite. WatchGuard réclame, dans tous les cas, d'opérer une déconnexion et de mettre à jour tous les appareils concernés, la faille ayant été mise à jour il y a plusieurs mois de cela.

HermeticWiper, redoutable malware capable de supprimer toutes les données des ordinateurs

Mercredi, la communauté du renseignement sur les menaces a détecté un nouvel échantillon du malware HermeticWiper, notamment repéré par ESET Research et Symantec. Le malware est doté d'une technique d'effacement des données, exploitée grâce à l'abus d'un pilote pourtant bénin, EaseUS. Les hackers se servent de lui pour accéder aux disques physiques et corrompre les données.

Le logiciel malveillant cible directement les appareils Windows et manipule ensuite le MBR (master boot record) à sa guise, ce petit secteur du disque dur qui permet à l'ordinateur de démarrer son système d'exploitation. En le manipulant, les pirates parviennent à mettre en échec le démarrage du système. Tout porte à croire que les pirates ont eu accès au réseau avant d'injecter le malware, puisque celui-ci a été compilé en décembre 2021 pour la première fois.

L'Ukraine essuie, depuis plusieurs mois, des milliers d'attaques informatiques et de potentielles incursions. Divers sites web officiels et surtout gouvernementaux ont été piratés, perturbés et/ou mis hors ligne depuis le début de l'année. Ces derniers jours, des attaques DDoS (attaques par déni de service distribué) ont été lancées en nombre, pour mettre à mal les institutions et le secteur bancaire de l'Ukraine. Le ransomware NotPetya avait déjà provoqué de lourds dégâts ces dernières années.

Le pays n'est toutefois pas sans solution et tente de renforcer ses défenses en ligne. Une équipe de cyberintervention rapide, composée d'experts néerlandais, polonais, croates, roumains ou encore estoniens, est mobilisée pour l'aider en ce sens.

Sources : WatchGuard , SentinelLaBS

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (12)

ar-s
Ah ce jeu là, les pays de l’Est sont très bon. En offensif comme en défensif.<br /> Quand vous dites pilote EaseUS vous parlez de quoi ? D’un pilote installé par un des soft de la compagnie EaseUS ou c’est autre chose, car je n’ai jamais entendu parlé de pilote EaseUS autrement. Faudrait être un peu plus loquace lors de ce genre de publication.<br /> Concernant HermeticWiper, vous dites « redoutable malware capable de supprimer toutes les données des ordinateurs »<br /> Je ne vois pas l’intérêt de niquer le MBR, celui peut être reconstruit du coup tout est récupérable. Encore une fois il faudrait plus d’investigation si vous postez des news sur la cybersécurité. Demandez l’avis ou des explications d’expert comme Damien Bancal (zataz) par exemple…<br /> Parce que là cet article c’est une peu de « tout venant ».
chinou51
J’adore la photo du mec en capuche devant son ordi tel un « pirate ». Dommage qu’on ne voit pas la bouteille de Vodka sur son bureau !
Popoulo
« Ces informations sont connues grâce à la transparence de la société américaine WatchGuard » : jerry.
pecore
Cette invasion est une honte et une tragédie mais elle pourra peut être servir d’avertissement aux pays occidentaux qui seraient tentés de minimiser l’importance de la sécurité informatique, ou l’avance énorme de certains pays non-amis dans ce type de guerre.
benben99
Le conflit Ukraine-Russie fait rage, mais est-ce qu’on a des preuves de la provenance des malwares? L’article ne mentionne que des soupçons… Faudra attendre d’avoir des preuves avant de conclure.
Gmp13000
Je doute qu’ils fassent ce genre d’opérations à distance, ils ont forcément des complices sur le terrain surtout pour installer un pilote!<br /> Le groupe « SandWorm » des fans de Dune ces Russkoffs?
Fatima
Si la société américaine WatchGuar le dit c’est que c’est vrai ! , ils ne mentent jamais d’après les médias
benben99
Je ne dis pas que ce ne sont pas les Russes, mais il ne faut pas sauter aux conclusions. Il y a une demi-douzaine de pays qui ont des intérêts en Ukraine ou a voir le conflit se prolonger<br /> Watchguard, je n’ai jamais entendu parlé d’eux. Je ne sais effectivement pas quelle crédibilité ils ont.
dFxed
A force de toujours vouloir prendre le contre-pied de l’évidence, on fini par se ridiculiser. Je me demande sérieusement si vous ne faites pas partie du programme chinois de désinformation …<br /> La Chine, seul pays du monde a adouber les folies de Poutine … Qui bizarrement, ne vous posent aucun problèmes, allant même jusqu’a essayer d’en prendre le partie …
Lafa
Merci bcp pour l’effort d’écriture ton commentaire suite à la lecture de cet article. +1
Swish
Mbr c’est pas plutôt master boot record je dis ça je dis rien
Voir tous les messages sur le forum
Haut de page

Sur le même sujet