Posté le février 27, 2021 à 8:52
LES AUTORITÉS UKRAINIENNES VISÉES PAR UNE ATTAQUE DE LA CHAÎNE D’APPROVISIONNEMENT RUSSE
Le Conseil national de la sécurité et de la défense (NSDC) de l’Ukraine a annoncé que certains cyber-attaquants visent certaines industries du pays.
Le conseil a publié deux communiqués de presse accompagnant cette annonce. Le NSDC a déclaré que les acteurs malveillants tentent d’envoyer des documents malveillants via le Système d’extraction électronique des organes exécutifs (SEI EB), généralement utilisé par les organisations gouvernementales pour partager des documents. Cet incident survient à peine deux jours après que le NCCC et le NSDC aient émis des alertes concernant une attaque DDoS massive visant les sites web du secteur de la sécurité et de la défense en Ukraine.
Les fichiers malveillants contiennent des macros malveillantes
L’organisme de sécurité a également déclaré que les documents malveillants contiennent des macros générés pour télécharger des logiciels malveillants, ce qui permet aux acteurs malveillants de contrôler à distance le dispositif qui a été violé.
Ils ont déjà violé un système de partage de fichiers du gouvernement en essayant de diffuser leurs logiciels malveillants à d’autres organismes gouvernementaux.
Selon les responsables ukrainiens, la raison de l’attaque était « la contamination massive des ressources d’information des autorités publiques ».
Les acteurs malveillants ont téléchargé des fichiers contenant des scripts de macro. Lorsqu’un utilisateur télécharge le script et lui permet d’exécuter son fichier exécutable, les macros téléchargent secrètement le logiciel malveillant. Les hackers peuvent ainsi accéder à l’ordinateur de la victime.
Le responsable de l’attaque serait un groupe cybercriminel russe
Ces hackers, selon le gouvernement ukrainien, sont probablement des hackers russes en raison de leur mode opératoire.
« Les méthodes et les moyens de mener cette cyber-attaque nous permettent de la relier à l’un des groupes d’espions hackers de la Fédération de Russie », a déclaré l’autorité ukrainienne.
Il y a plusieurs groupes de hackers supposés venir de la Fédération de Russie. Mais le NSDC n’a pas mentionné de nom spécifique dans son communiqué de presse.
Les responsables ont cependant publié quelques preuves qui relient l’attaque à la Russie, qui comprennent l’adresse IP de l’attaquant et leurs noms de domaine portant le nom enterox.ru.
Grâce à ces éléments, les chercheurs du ZDNet ont pu relier les hackers russes au groupe Gamaredon, qui est réputé pour ses attaques contre les organisations ukrainiennes depuis de nombreuses années.
Selon un rapport précédent de Cisco, le groupe de hackers mène ses propres opérations mais se rend également disponible de louer leurs services pour des acteurs de menaces persistantes avancées (APT).
L’attaque est similaire à celle menée contre SolarWinds
C’est la deuxième fois que l’agence ukrainienne met en garde les organisations contre des attaques. Lundi, l’agence a également averti que les acteurs malveillants russes ont ciblé des sites web par des attaques DDoS la semaine dernière. Selon l’avertissement, les acteurs malveillants ont ciblé le NSDC ainsi que des réseaux d’autres entreprises stratégiques et des institutions publiques. En plus des entreprises stratégiques, les acteurs malveillants ont également ciblé des sites web liés aux secteurs de la sécurité et de la défense.
Selon le rapport sur l’attaque, l’incident est une attaque de la chaîne logistique similaire à l’attaque contre SolarWinds et l’attaque contre NotPetya qui ont eu lieu en 2017.
On ne sait pas exactement quand les acteurs malveillants ont exécuté leurs attaques ni combien de temps elles ont duré. De plus, il n’y a toujours pas de mise à jour concernant le niveau d’impact que l’attaque a eu sur les organisations touchées.
Aucune organisation n’a déclaré avoir été attaquée, mais tout comme pour l’attaque de SolarWinds, d’autres informations sur l’impact de l’attaque sont attendues.
Le NSDC a également révélé que l’agence a reçu plusieurs menaces d’attaques DDoS depuis la semaine dernière.
Les attaquants ont utilisé une nouvelle méthode
Le NSDC a également souligné que la méthode utilisée par les attaquants n’a jamais été vue auparavant dans la nature. De plus, les attaquants ont placé des logiciels malveillants sur les serveurs web du gouvernement.
Le réseau de zombies, auparavant non documenté, a été utilisé sur les serveurs du gouvernement ukrainien. Au cours de ce processus, il a coopté les dispositifs de violation dans un réseau de zombies contrôlé par les attaquants.
En conséquence, les sites web du gouvernement ont été bloqués par les fournisseurs d’accès à Internet (FAI), refusant aux utilisateurs l’accès au site même après que l’attaque DDoS ait été maîtrisée.
Après l’infection et la compromission, les systèmes infectés ont ensuite été utilisés pour des attaques DDoS sur d’autres sites web ukrainiens, selon le rapport.
