Cyberattaque en Ukraine : Microsoft prévient qu'elle pourrait rendre inopérante la structure informatique gouvernementale

17 janvier 2022 à 11h17
18
Hacker Cellmate
Les questions restent nombreuses, mais Microsoft en sait plus sur les intentions des attaquants

Une attaque informatique majeure a une nouvelle fois frappé l'Ukraine il y a quelques jours. Selon Microsoft, qui mène une veille à ce sujet, ce n'est pas l'argent qui intéresse les auteurs, mais bien le fonctionnement de la structure informatique du gouvernement.

Après la cyberattaque d'ampleur qui a frappé de nombreux sites gouvernementaux ukrainiens, les rendant inaccessibles et faisant apparaître des messages plutôt intimidants sur des divulgations de données, l'heure est aux investigations. Et Microsoft, via son centre de renseignement sur les menaces (MSTIC), a livré ce week-end ses premiers résultats. Et le moins que l'on puisse dire, c'est qu'ils ne sont pas très rassurants.

Une cyberattaque faussement déguisée en rançongiciel

Dans un billet de blog, Microsoft indique avoir identifié une activité d'intrusion inquiétante provenant d'Ukraine, le 13 janvier. L'entreprise précise avoir alors découvert une fonctionnalité malveillante unique, utilisée dans des attaques par intrusion contre plusieurs organisations victimes, dans le pays.

Dans un premier temps, le logiciel malveillant utilise un exécutant qui est généralement employé par les hackers pour le mouvement latéral et l'exécution. D'abord, le malware écrase le Master Boot Record (MBR), qui est le premier secteur adressable d'un disque dur , connu pour contenir la table des partitions du disque et pour aider au lancement du système d'exploitation lors du démarrage de l'ordinateur. Cette étape, qui permet de corrompre le disque dur, s'accompagne ici d'une note de rançon, qui comporte un portefeuille Bitcoin et un identifiant Tox qui n'ont en revanche jamais été observés par Microsoft par le passé.

Mais le côté pernicieux de la chose, c'est qu'en réalité, ce qui semble être un ransomware n'est qu'une ruse, car le logiciel malveillant vient en fait détruire le MBR et tous les fichiers ciblés. Le malware n'a en l'occurrence aucun mécanisme de récupération de la rançon. Son unique but est alors de détruire et de rendre inopérants les sites visés. « Le logiciel malveillant (…), conçu pour ressembler à un logiciel de rançon mais dépourvu de mécanisme de récupération de rançon, est destiné à être destructeur et est conçu pour rendre les appareils ciblés inopérants, plutôt que d'obtenir une rançon », explique clairement Microsoft.

Une volonté de faire tomber les systèmes gouvernementaux, dont le nombre de sites visés serait plus important qu'à l'origine

Allant un peu plus loin dans son analyse, Microsoft, qui ne fait pas de référence à la Russie (qui serait à l'origine de l'attaque même si aucune preuve ne le confirme à ce stade), dit être « conscient des événements géopolitiques en cours en Ukraine », et indique ne pas avoir trouvé de lien entre l'attaque observée et un groupe de cybercriminels connu. Donc à l'heure actuelle, le groupe et le pays d'origine de l'attaque informatique demeurent inconnus. Mais l'ampleur de la cyberattaque serait bien plus grande qu'imaginée à l'origine.

« Nos équipes d'enquête ont identifié le malware sur des dizaines de systèmes touchés et ce nombre pourrait augmenter à mesure que notre enquête se poursuit », ajoute la firme américaine.

Elle évoque des systèmes aujourd'hui touchés qui couvrent un large scope d'organisations gouvernementales à but non lucratif et d'organisations œuvrant dans le secteur des TIC, toutes basées en Ukraine. Mais l'équipe de recherche de Microsoft confirme bien que l'impact doit être plus important qu'on ne le pensait initialement.

Source : Microsoft

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
18
15
Popoulo
En lisant le titre j’avais compris que c’était Ms qui pourrait rendre la structure « inopérable ». D’ailleurs, « inopérante » ne serait pas le mot juste ?
AlexLex14
Inopérant, c’est le terme, effectivement, ça a été corrigé normalement <br /> Pour le reste, on parle de la «&nbsp;cyberattaque en Ukraine&nbsp;», sujet du titre, donc on comprend que «&nbsp;elle&nbsp;» désigne cette cyberattaque, pas Microsoft <br /> Bonne journée
Duben
J’ai eu la même réflexion, la phrase est mal tournée je trouve
Gus_71
Idem …
Nonor3
Donc en fait c’est une quasi déclaration de guerre contre l’Ukraine. On essaye de mettre à genoux le réseau de gouvernement + on masse à la frontière une énorme armée… on y est, ça y est.
bizbiz
Un systeme gpt/uefi/secureboot/tpm2.0 est à l’abris de ce genre d’attaque ?
lefranstalige
l’Urkaine ne fait pas partie de l’OTAN donc je ne vois pas vraiment l’Europe se bouger pour contrer l’attaque de son fournisseur de gaz.
Popoulo
@AlexLex14 : Pas de soucis <br /> Toujours l’habitude d’associer le nom de la société à «&nbsp;entreprise&nbsp;», raison pour laquelle me demandait en quoi Ms pour rendre inopérant tout le toutim.
phil995511
En effet, c’est à se demander si on ne ferait pas mieux de débrancher la Russie, la Corée du Nord, voir la Chine de l’internet mondial, on aurait moins de soucis…
JerryGollet
Non, sur de l’UEFI ce genre d’attaque reviendrait au même, l’OS ne serait plus bootable, le secure boot empêcherait simplement la partie affichage de la demande de rançon de fonctionner.<br /> Le reste de l’attaque (corruption des fichiers) est indépendante du système de démarrage.
Pierro787
En l’occurrence, ce sont les américains qui bougeraient . Il y a déjà plusieurs milliers d officiers américains en Ukraine pour former l’armée et je doute que le gaz russe intéresse d’une quelconque manière les États Unis.
lefranstalige
Au contraire, le gaz russe intéresse très fort les USA car:<br /> C’est un concurrent direct à leurs exportations de gaz de schiste tiré de la fragmentation de roches que les USA vendent à l’Europe<br /> La vente du gaz russe notamment via la société proche de l’Etat «&nbsp;Gasprom&nbsp;» finance l’Etat Russe et donc en partie son programme militaire y compris la partie cyber qui fait tant de dégâts.<br />
_J2B
Oui donc cela confirme petit à petit qu’un groupe de hackers aurait eu du mal à mettre en place une attaque d’une aussi grande envergure.<br /> Je disais dans la news précédente que ça m’étonnerait pas que la Russie tente de faire porter le chapeau à un groupe de hackers. Le fait d’avoir déguisé cette attaque en ransomware va dans ce sens.
Blackalf
AlexLex14:<br /> Inopérant, c’est le terme, effectivement, ça a été corrigé normalement <br /> J’ai corrigé le titre dans l’article côté forum, histoire d’être raccord.
mcbenny
Dans le temps on envoyait les archers en premier, mais ils étaient quand même vachement près…<br /> Puis ça a été l’artillerie, à distance, mais pas très précise.<br /> Les bombardiers c’étaient plus précis mais très coûteux aussi.<br /> Dernièrement on était sur des frappes «&nbsp;chirurgicales&nbsp;» (salles blanches et tout, drones), bien planqués au loin, mais pareil, ça coûte cher quand même.<br /> Maintenant on reste bien à l’abri, plus besoin de construire des machines volantes, des trucs explosifs qui pourraient nous péter à la gueule, juste une batterie d’ordinateurs pas chers, un abonnement à Domino’s Pizza et on est bon !<br /> Ah… le progrès, c’est beau quand même !
AlexLex14
Thanks
pecore
Et au cinéma, terminé les John Rambo, John Matrix et tout les autres John. Bientôt, sur vos écrans, les aventures Jean Kevin, le Hacker obèse dans sa cave.<br /> Je sais, c’est cliché, mais c’est pour le cinéma.
orionb1
justement, le gaz russe passe par l’Ukraine, encore aujourd’hui
lefranstalige
Il y a Nord Stream 2 que les USA essaient d’arrêter.
Voir tous les messages sur le forum

Lectures liées

Pourquoi vos données sur Doctolib ne sont pas totalement sécurisées
VPN : améliorez votre cyberconfidentialité grâce à cette offre hallucinante !
Un chercheur en cybersécurité montre comment pirater une Tesla via une faille Bluetooth
Piratage : le site de téléchargement Tirexo n'est pas mort et devient PapaFlix
Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day
3 bons plans VPN pour assurer votre sécurité en ligne
Ces deux failles critiques ont été exploitées par des hackers d'État
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Haut de page