Décryptage des deux étranges cyberattaques ciblant l’Ukraine

La semaine passée, alors que de nombreux observateurs spéculent sur une possible invasion de l'Ukraine par la Russie, 70 sites web gouvernementaux ukrainiens ont été défigurés par des messages menaçants. Deux jours plus tard, une dizaine d'ordinateurs de ces mêmes agences étaient infectés par des logiciels malveillants destructeurs de données (« wiper »). Tentative de décryptage et d'analyse.

Peu après minuit jeudi dernier, et après trois jours de négociations infructueuses entre les États-Unis, la Russie et l'OTAN sur le renforcement des troupes russes à la frontière ukrainienne, des pirates ont dégradé ou, dans certains cas, tenté de défigurer environ 70 sites Web ukrainiens. Beaucoup sont des agences gouvernementales de premier plan, écrit Kim Zetter, une des meilleures journalistes pour ce qui est des questions de cybersécurité, qui a tenté de récapituler ce que l'on sait à ce jour des évènements en cours.

Les pages d'accueil d'une douzaine de ces sites défigurés ont été remplacées par des messages menaçants écrits en ukrainien, russe et polonais, les avertissant que toutes leurs données personnelles avaient été téléchargées, rendues publiques et détruites sur leurs ordinateurs, et qu'ils devraient « avoir peur et s'attendre au pire » :

« Ukrainien ! Toutes vos données personnelles ont été téléchargées sur le réseau public. Toutes les données sur vos ordinateurs sont détruites, il est impossible de les restaurer. Toutes les informations vous concernant sont devenues publiques, ayez peur et attendez-vous au pire. C'est pour votre passé, votre présent et votre futur. Pour Volhynie, pour l'OUN UIA [Organization of Ukrainian Nationalists Ukrainian Insurgent Army, ndlr], pour la Galicie, pour la Polésie et pour les terres historiques. »

L'UIA et l'OUN étaient des groupes ultranationalistes ukrainiens qui se sont battus pour l'indépendance à l'époque soviétique, tandis que la Galicie, la Volhynie et la Polésie sont des régions où ils avaient historiquement bénéficié de niveaux de soutien élevés, précise CNN.

Une déclaration du ministère ukrainien de la Culture et de la Politique de l'information a suggéré que le texte mentionnait les groupes et les régions comme « un moyen de dissimuler » le fait que l'attaque émanerait, en mode « faux drapeau », de hackers russes.

« Il est évident que cela a été fait exprès pour jeter une ombre sur l'attaque des hackers contre la Pologne : la Russie et ses mandataires travaillent depuis longtemps pour créer la querelle entre deux pays voisins amis », a ajouté le ministère dans un communiqué.

Si les métadonnées de l'image suggèrent qu'elle proviendrait de Pologne, des journalistes polonais ont rapidement remarqué que le texte polonais présentait des erreurs stylistiques indiquant qu'un non-locuteur l'aurait écrit et que le texte avait probablement été traduit via Google Translate.

Le porte-parole du ministère ukrainien des Affaires étrangères, Oleg Nikolenko, a déclaré de son côté qu'il était « trop ​​​​tôt pour tirer des conclusions » quant à l'origine de l'attaque, mais qu'il existait « une longue liste de cyberattaques russes contre l'Ukraine dans le passé ».

Une attaque (bénigne) visant à semer la panique et la peur

Les sites des ministères de l'Éducation, des Affaires étrangères, des Sports, de l'Énergie, de la Politique agraire, des Anciens combattants, de l'Environnement et du Service d'urgence de l'État ukrainien et du Trésor public ont été ciblés, selon le média d'État Ukrinform.

Les sites ont rapidement disparu, leurs administrateurs les ayant mis hors ligne pour supprimer les pages défigurées et enquêter sur les incidents. « À la fin du week-end, presque tous les sites avaient été restaurés », écrit Kim Zetter.

« Il semble que chacun de ces sites ait été développé pour le compte du gouvernement ukrainien par une société ukrainienne nommée Kitsoft », a expliqué Matt Olney, directeur du renseignement sur les menaces et de l'interdiction chez Talos, l'unité de renseignement sur les menaces du géant technologique Cisco, à CNN.

Son site web ne répond plus mais, dans un message posté sur sa page Facebook, Kitsoft explique travailler, « aux côtés du ministère de la Transformation numérique et d'autres autorités, pour éliminer les conséquences de la cyberattaque » :

« La situation actuelle ne concerne pas seulement le piratage de sites Web, c'est une attaque visant à semer la panique et la peur, déstabilisant le pays de l'intérieur. La force des Ukrainiens réside dans l'unité. Nous encourageons nos collègues à unir leurs forces et à travailler ensemble. »

À ce stade, rien n'indique que, contrairement à ce qu'affirmait le communiqué qui s'affichait sur les sites défigurés, des données auraient réellement été exfiltrées, puis rendues publiques. Encore moins qu'y figureraient des « données personnelles », les sites web comportant généralement principalement des données « publiques ».

De plus, rien n'indiquerait que « toutes les données sur l'ordinateur sont détruites ». Et les dégradations auraient été effectuées manuellement – et non par le biais d'un script configuré pour automatiser les actions malveillantes.

Oleg Nikolenko, porte-parole du ministère ukrainien des Affaires étrangères, a tweeté vendredi que « l'enquête est toujours en cours mais le Service de sécurité ukrainien a obtenu des indicateurs préliminaires suggérant que des groupes de pirates informatiques associés aux services secrets russes pourraient être à l'origine de la cyberattaque massive d'aujourd'hui sur les sites Web du gouvernement », rapporte CNN.

Des hackers biélorusses ?

Vendredi, des campagnes DDoS ont également ciblé un certain nombre d'agences gouvernementales afin de les inonder de trafic, et empêcher les internautes d'y accéder.

Samedi, Serhiy Demedyuk, secrétaire adjoint du Conseil ukrainien de la sécurité nationale et de la défense, déclarait à Reuters qu'UNC1151, un groupe de cyber-espionnage affilié aux services spéciaux (pro-russes) de la République de Biélorussie, pourrait être impliqué dans l'attaque.

Demedyuk, qui était à la tête de la cyberpolice ukrainienne, a déclaré que le groupe avait l'habitude de cibler la Lituanie, la Lettonie, la Pologne et l'Ukraine et avait déjà diffusé des messages dénonçant la présence de l'alliance de l'OTAN en Europe.

« Le logiciel malveillant utilisé pour chiffrer certains serveurs gouvernementaux est très similaire dans ses caractéristiques à celui utilisé par le groupe ATP-29 », a-t-il précisé. Il fait référence à un groupe, également connu sous le nom de Cozy Bear et qui ferait partie de l'agence de renseignement étrangère russe SVR, soupçonné du piratage du Comité national démocrate avant l'élection présidentielle américaine de 2016.

Pour lui, ces dégradations n'étaient « qu'une couverture pour des actions plus destructrices qui se déroulaient dans les coulisses et dont nous ressentirons les conséquences dans un futur proche ».

WhisperGate, vrai-faux ransomware, mais véritable wiper

Quelques heures plus tard, des chercheurs en sécurité du Microsoft Threat Intelligence Center (MSTIC) découvraient une nouvelle attaque ciblant elle aussi « plusieurs agences et organisations gouvernementales ukrainiennes qui travaillent en étroite collaboration avec le gouvernement ukrainien ».

Microsoft précise que certaines d'entre elles « fournissent des fonctions essentielles de branche exécutive ou d'intervention d'urgence », ainsi qu'une société informatique qui gère des sites Web pour des clients des secteurs public et privé, y compris des agences gouvernementales dont les sites Web ont été récemment dégradés.

Kitsoft n'a pas été explicitement nommé, mais l'entreprise, sur Facebook, précise que « l'infrastructure de Kitsoft a également été endommagée lors de la cyberattaque ».

L'attaque a ceci de particulier que le ou les logiciels malveillants se font passer pour des rançongiciels, bien que dépourvus de mécanisme de récupération de rançon, et bel et bien conçus pour détruire les données des appareils infectés.

Le logiciel malveillant réécrit en effet le Master Boot Records (MBR, ou zone d'amorce, qui contient la table de partitions des disques durs, ndlr) des systèmes infectés avec un message de rançon contenant les identifiants d'un portefeuille Bitcoin et d'une messagerie chiffrée Tox :

« Votre disque dur a été corrompu.

Si vous souhaitez récupérer tous les disques durs de votre organisation, vous devez nous payer 10 000 $ via le portefeuille bitcoin 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv et envoyer un message via tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F
Nous vous contacterons pour vous donner de plus amples instructions. »

Sauf que, souligne le MSTIC, « la note de ransomware est une ruse et le malware détruit le MBR et le contenu des fichiers qu'il cible », plutôt que de les chiffrer tout en disposant d'un mécanisme de récupération, comme c'est le cas d'ordinaire avec les ransomwares.

De plus, relève Andy Greenberg dans Wired, ni le logiciel malveillant ni le message de rançon ne semblent personnalisés pour chaque victime de cette campagne. Cela suggère que les pirates n'avaient aucune intention de suivre les victimes ou de déverrouiller les machines de ceux qui auraient payé une rançon.

Il note en outre que les deux techniques destructrices du logiciel malveillant, ainsi que son faux message de ransomware, rappellent étrangement les cyberattaques d'effacement de données que la Russie avait menées contre les systèmes ukrainiens de 2015 à 2017, parfois avec des résultats dévastateurs. 

Au cours des vagues de 2015 et 2016 de ces attaques, un groupe de pirates connu sous le nom de Sandworm, identifié plus tard comme faisant partie de l'agence de renseignement militaire russe GRU, avait utilisé des logiciels malveillants similaires au type identifié par Microsoft pour effacer des centaines de PC dans les médias ukrainiens, les services publics d'électricité, système ferroviaire et les agences gouvernementales, y compris son Trésor et son fonds de pension.

Elles avaient culminé avec la publication par Sandworm du ver NotPetya en juin 2017. Ce wiper s'était lui aussi fait passer pour un ransomware, à ceci près que WhisperGate semble avoir été installé manuellement, alors que le déploiement de NotPetya avait, lui, été automatisé.

Ses auteurs avaient en effet pris le soin de l'insérer dans une mise à jour de l'un des deux principaux logiciels de comptabilité ukrainien, afin de pouvoir infecter un maximum, non seulement d'entreprises et administrations ukrainiennes, mais également de toutes celles qui, dans le monde, travaillaient avec elles.

Des centaines de milliers d'ordinateurs avaient ainsi été contaminés dans le monde en quelques heures, contribuant à générer une véritable panique mondiale, causant un total de 10 milliards de dollars de dégâts, la cyberattaque la plus coûteuse de l'histoire.

MSTIC explique avoir mis en place des protections pour détecter cette famille de logiciels malveillants surnommés « WhisperGate » via Microsoft Defender Antivirus et Microsoft Defender for Endpoint. Compte tenu de l'ampleur des intrusions observées, MSTIC précise que « ces actions représentent un risque élevé pour tout organisme gouvernemental, à but non lucratif ou entreprise situé ou disposant de systèmes en Ukraine ».

Deux attaques mal coordonnées ?

Grugq, pseudonyme de l'un des meilleurs observateurs et experts des tactiques, techniques et procédures (TTP) des acteurs étatiques impliqués dans ce type de « cyberguerre », estime pour sa part qu'il pourrait s'agir de deux attaques émanant de deux acteurs qui n'auraient pas réussi à se coordonner.

Les défigurations du site Web auraient en effet été utilisées pour envoyer un message à la population ukrainienne dans une sorte de « cyberimitation » de l'ancienne théorie stratégique du « bombardement terroriste ». Une tentative de punition collective d'une population civile dans le but d'exercer une pression politique contre ses dirigeants.

Sauf que si de telles défigurations de sites web pouvaient quelque peu impressionner les opinions publiques dans les années 90, voire en 2015, elles sont à peu près aussi terrorisantes que des tags sur les murs menaçants, à tort, de divulguer des données personnelles qu'ils n'auraient donc pas exfiltrées.

A contrario, l'attaque identifiée par Microsoft « ressemble superficiellement à NotPetya », à mesure que le malware aurait été déployé manuellement, et non de façon automatisée comme en 2017, ne contaminant que quelques dizaines d'ordinateurs.

S'il est encore trop tôt pour tirer des conclusions au sujet d'une éventuelle coordination entre la campagne de défigurations de sites web et le déploiement de WhisperGate, Grugq estime, pour ce qui est de l'analyse de l'opération elle-même : « il me semble que les assaillants ont échoué dans leur coordination et cela a sérieusement impacté l'opération » :

« Il n'y a pas eu d'exfiltration de données associée aux messages de défiguration du site Web [et] il n'y a donc aucune indication que cette dégradation soit véritablement parrainée par un État, plutôt que par un "hacker patriotique". Le niveau de sophistication est trop faible pour fonctionner comme un signal d'authenticité. »

De même, le wiper ne permet pas de « contextualiser l'attaque en tant qu'action politique ayant un sens » d'une part, au point qu'elle pourrait même ne pas émaner d'un « acteur menaçant sérieux ». D'autre part :

« La mauvaise coordination entre les événements a eu des conséquences immédiates sur leur perception. Sans destruction ni fuite correspondante, la dégradation est apparue comme une simple menace vide. Si la coordination avait été effectuée correctement, ils auraient été plus que la somme de leurs parties, mais au lieu de cela, ils étaient inférieurs. »

Une attaque isolée de fanfarons, et/ou d'un service pro-russe ?

Il estime qu'« une conclusion qui pourrait être tirée de cette mauvaise coordination est que les deux opérations ont été exécutées par des acteurs différents » :

« Les difficultés de gestion des opérations multi-états multi-services pourraient facilement entraîner des échecs de synchronisation. La coordination de plusieurs opérations est possible au sein d'une même organisation. Cependant, impliquant plusieurs services de plusieurs États, les difficultés augmentent de façon exponentielle. C'est précisément pour cela qu'il existe des formations interservices. »

S'il reconnaît l'utilisation de plusieurs types d'attaques (défiguration de sites Web, destruction de données, voire fuites de données, etc.) combinées en une seule opération, cette sorte « d'opération interarmes » typique d'une « cyberguerre » n'en serait pas moins « superficielle », eu égard à la portée des effets obtenus, comparée à l'ampleur des dégâts provoqués par NotPetya.

« Ils avaient écrit [dans leurs défigurations] que "Toutes les données sur vos ordinateurs sont détruites et ont été exfiltrées", mais le wiper n'est apparu que deux jours plus tard », explique Grugq à Kim Zetter : « Cela a fait penser que la défiguration serait une attaque isolée émanant d'idiots fanfarons qui ne pouvaient rien faire d'autre ».

Ils auraient d'abord dû effacer les données, puis défigurer les sites Web de ces mêmes agences, note-t-il. « De cette façon, les nouvelles de [l'attaque du wiper] auraient été diffusées, puis le message des attaquants aurait dû apparaître ». Alors que, vu l'enchaînement inversé de ces messages contradictoires, il serait possible que les attaques aient été soit mal coordonnées, soit effectuées indépendamment.

Si la Biélorussie est un proche allié de la Russie, son unité UNC1151 (surnommée GhostWriter par Mandiant) n'a pas la puissance de feu des hackers des services de renseignement russes, et deux sources proches de l'enquête ukrainienne affirment à Kim Zetter « n'avoir trouvé aucune preuve reliant l'activité à la Biélorussie et à GhostWriter et que les enquêteurs ne sont pas encore en mesure d'attribuer à un pays ou à un groupe ».

Ghostwriter est connu en partie pour « cibler les systèmes CMS afin de planter des histoires et du contenu fabriqués sur les médias et d'autres sites », selon John Hultquist, vice-président de l'analyse du renseignement à Mandiant. Il a « également mené auparavant des opérations destinées à semer la division entre l'Ukraine et la Pologne ».

Microsoft explique de son côté n'avoir rien trouvé qui relierait WhisperGate à un autre groupe ou pays spécifique.

Hultquist rappelle cela dit qu'historiquement, « la plupart des dégradations ont été menées par des pirates informatiques de bas niveau qui laissent des messages politiques ou patriotiques sur des sites ciblés », mais que des acteurs parrainés par des gouvernements ont également fait de même.

Hultquist précise qu'il ne qualifierait pas à ce stade ces campagnes d'effacement et de défiguration de « cyberattaque massive » parce que leurs effets, à ce jour, ont été limités : « Est-ce que n'importe qui pourrait faire ça ? La réponse est oui. Un acteur mineur pourrait le faire. »

Il note cela dit que les acteurs plus importants n'ont pas besoin de lancer des attaques sophistiquées dès lors qu'une attaque plus simple atteint le résultat escompté : « Ça fait l'actualité. C'est embarrassant et c'est public ».

Brian Krebs rappelle pour sa part que les défigurations ont eu lieu dans la foulée de l'arrestation, par la Russie mais avec l'aide des États-Unis, de 14 membres du groupe de ransomware REvil, mais également que l'Ukraine a longtemps été utilisée comme terrain d'essai pour les capacités de piratage offensif russes.

Des pirates russes soutenus par l'État avaient ainsi été accusés de la cyberattaque du 23 décembre 2015 sur le réseau électrique ukrainien qui avait laissé 230 000 clients trembler dans le noir

Ce mardi, Ukrinform rapporte que presque tous les sites Web gérés par le gouvernement qui avaient été attaqués dans la nuit du vendredi 14 janvier sont de nouveau accessibles. Selon le service de sécurité du SBU, « un total de plus de 70 sites Web gouvernementaux ont été touchés lors de l'attaque de grande envergure, dont 10 ont été pénétrés [par le wiper, ndlr]. Le contenu des sites n'a pas été modifié et aucune donnée personnelle n'a été divulguée, rapportent les agents de sécurité. »