Bien avant que la Russie ne déclare officiellement la guerre à l'Ukraine, cette nuit de mercredi à jeudi 24 février 2022, le pays était déjà la cible d'attaques informatiques de premier plan le mois dernier. Quelques jours plus tard on apprenait d'ailleurs qu'elles étaient encore plus graves qu'escompté. Mercredi dernier, une autre vague de cyberattaques a été révélée, à l'encontre des sites Web du ministère ukrainien de la défense et de l'armée, ainsi que des très grandes banques du pays.
Logiquement - autant que malheureusement - la situation ne s'est pas arrangée, bien au contraire. Ce mercredi, les sites Web du gouvernement ukrainien, du ministère des affaires étrangères et de la sécurité intérieure ont été visés par des attaques incluant du déni de service (DDoS). La tension est forte, d'après ESET, des centaines de systèmes informatiques ont été infectés par des effaçeurs de données (wipers) Windows.
De la corruption MBR aussi
Ces wipers sont apparemment signés cryptographiquement avec un certificat de développeur légitime, vraisemblablement volé, pour tromper les outils antivirus et les utilisateurs. D'après l'éditeur, le logiciel malveillant utilise les pilotes d'un programme de partitionnement pour corrompre les périphériques de stockage et détruire les fichiers sur les systèmes infectés. D'après le fournisseur, le vecteur de compromission initial le plus probable est l'Active Directory. Localisé dans les répertoires Windows (Win32/KillDisk.NCV), ces wipers effaceraient non seulement les fichiers du lecteur, mais également la zone d'amorçage des disques durs (MBR pour master boot record), rendant le démarrage et la récupération de données difficile voire impossible.
ESET n'est pas le seul fournisseur à avoir identifié une recrudescence des cyberattaques contre l'Ukraine. C'est également le cas de Symantec qui a indiqué à Reuters que des infections ont aussi été enregistrées en Lettonie et en Lituanie.
Commentaire