Posté le avril 15, 2022 à 8:07
UNE ATTAQUE DDOS COORDONNÉE VISE DEUX MINISTÈRES EN FINLANDE
Les attaques par déni de service distribué (DDoS) sont de plus en plus populaires. Les hackers à l’origine de ces attaques sont allés jusqu’à cibler des ministères, comme en témoigne la récente attaque contre des ministères en Finlande.
En Finlande, le ministère des Affaires étrangères et le ministère de la Défense ont été victimes d’un botnet récemment détecté, connu sous le nom de Zhadnost. Ce botnet a été utilisé pour mener des attaques DDoS sur les deux ministères.
Le botnet Zhadnost DDoS utilisé pour cibler la Finlande
Les preuves des attaques DDoS de Zhadnost indiquent que les attaquants sont affiliés à la Russie. Les chercheurs de SecurityScorecard (SSC) ont trouvé des similitudes entre la récente attaque et les précédentes menées par des acteurs pro-Russes.
L’attaque DDoS en question a eu lieu le 8 avril. Elle a eu lieu au moment où le président Ukrainien, Volodymyr Zelensky, a prononcé un discours virtuel devant le parlement Finlandais.
Les tensions entre la Russie et la Finlande sont fortes depuis le début de l’invasion russe en Ukraine. Quelques heures avant cette attaque, il a été allégué que la Russie avait violé l’espace aérien finlandais. Un avion Russe Ilyushin IL-96-300 a pénétré dans l’espace aérien Finlandais, mais il n’a pas été établi qu’il s’agissait d’un avion militaire.
Les attaquants ont maintenu l’attaque DDoS sur les deux ministères du gouvernement pendant environ quatre heures. L’attaque a été lancée à partir de plus de 350 adresses uniques réparties dans différents pays. Toutefois, les bots utilisés étaient principalement basés en Afrique et au Bangladesh.
Sur le total des bots utilisés, 82% étaient des routeurs MikroTik. Ces routeurs sont produits en Lettonie par MikroTik, un fabricant de matériel de pare-feu et de routage. Ces routeurs visent principalement les marchés émergents. Les autres bots utilisés dans la récente attaque DDoS étaient une combinaison d’appareils fonctionnant sous Apache, Caddy Server et Squid Proxy.
Selon Ryan Slaney, chercheur chez SSC, les routeurs MikroTik sont connus pour leurs nombreuses vulnérabilités. Cela en fait une cible parfaite pour les cybercriminels qui veulent exploiter ces vulnérabilités pour lancer d’autres attaques. Actuellement, environ 875 000 unités ont été déployées, ce qui montre un grand nombre de points d’entrée pouvant être utilisés par les acteurs de menaces pour mener une série d’attaques.
L’attaque DDoS est liée aux aspirations de la Finlande à adhérer à l’OTAN
Dans un communiqué, Slaney ajoute que « la composition de ces bots est presque identique à celle du botnet Zhadnost, qui a été responsable de trois attaques DDoS distinctes contre le gouvernement Ukrainien et des sites financiers avant et peu après l’invasion de l’Ukraine par la Russie. »
Le chercheur a également souligné les similitudes entre la récente attaque contre la Finlande et celle contre l’Ukraine. Les acteurs pro-Russes ont ciblé les services gouvernementaux Ukrainiens le 18 février. Comme dans l’attaque récente, l’attaque DDoS sur l’Ukraine a été menée à l’aide de routeurs MikroTik, de dispositifs Squid Proxy et Apache.
Les chercheurs de SSC ont analysé l’attaque pour recueillir plus d’informations sur le botnet Zhadnost. Ils ont déclaré qu' »avec l’ajout des plus de 350 bots que nous avons identifiés dans cette campagne, SSC est maintenant au courant de près de 3350 bots qui composent le botnet Zhadnost ».
Suite à la récente invasion de l’Ukraine par la Russie, les pays neutres ont de plus en plus besoin de rejoindre l’alliance de l’OTAN. Parmi les pays neutres d’Europe, on trouve la Finlande et la Suède, et le récent événement montre que ces pays insistent pour adhérer rapidement à l’OTAN.
La Russie s’est opposée à une présence croissante de l’OTAN à l’Est, et la politique étrangère Russe s’est engagée à empêcher ces pays neutres d’adhérer à l’OTAN.
Selon les chercheurs du SSC, la récente attaque DDoS est liée à la volonté de la Finlande de devenir membre de l’OTAN. L’analyse des chercheurs montre que les attaques ont été menées par des acteurs de menaces affiliés à la Russie, mais ils n’ont pas déclaré avec précision que la Russie était derrière l’attaque.
L’attaque DDoS n’a pas eu d’effet durable. Les sites web attaqués ont été rapidement restaurés. Toutefois, le SSC pense que l’attaquant n’avait pas l’intention de causer des dommages durables, mais voulait seulement montrer ses capacités.
Toutefois, M. Slaney a fait remarquer que la Finlande était vulnérable à d’autres cyberattaques peu de temps après que le pays ait cherché à adhérer à l’OTAN. Si les événements indiquent que la Finlande se rapproche de l’adhésion, cela pourrait accroître les tensions et des attaques plus sévères pourraient être menées contre les ministères du gouvernement Finlandais ou d’autres secteurs critiques.
Si l’on se base sur l’historique des attaques Russes, la prochaine étape de la stratégie des acteurs Russes consisterait à déployer des attaques de type « wiper », éventuellement contre des infrastructures critiques et des cibles gouvernementales », ajoute le communiqué.
