Ukraine : comment la France et l’OTAN gèrent le volet cyber

Comment les pays de l’OTAN caractérisent-ils la menace cyber qui sous-tend le conflit Ukraine-Russie et comment se positionnent-ils ?

Situation pour nos ressortissants à Kiev, soutien humanitaire aux populations ukrainiennes, coordination européenne pour la fourniture d’armes… Autant de points que Jean-Yves Le Drian a abordés ce lundi matin au sortir d’un Conseil de défense. Mais pas un mot sur le risque cyber. Bruno Le Maire, qui l’accompagnait, n’en a pas dit davantage à ce sujet, embrayant sur les sanctions économiques et financières.

Rien de plus à signaler sur le volet cyber du côté de Cédric O. Ce lundi, le discours du secrétaire d’État au numérique se concentre sur la lutte contre la propagande russe en ligne. En toile de fond, l’adoption d’un paquet de sanctions par l’Union européenne.

Vers des ripostes de l’OTAN ?

Il n’y a pas qu’au Gouvernement qu’on reste muet sur les canaux officiels. Du côté de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), la dernière – et unique – communication publique remonte au 23 février, dans la lignée du lancement de l’offensive terrestre russe. Le message, dans les grandes lignes : nous n’avons détecté, en France, aucune cybermenace en lien avec les récents événements ; mais restez vigilants.

Certaines homologues de l’ANSSI en disent davantage. À commencer par la CISA (Computer Information Security Agency). L’agence américaine a notamment dégainé une initiative « Shields Up ». Par cet intermédiaire, elle invite toute organisation à se préparer à d’éventuelles « perturbations cyber », a fortiori des suites des sanctions prises contre la Russie. On est là purement dans une logique de défense. À l’appui, entre autres, d’une « boîte à outils » récemment mise à disposition.

Des rumeurs d’action offensive de la part des États-Unis ont émergé. En tête de liste, les propos d’un correspondant de Reuters. La Maison Blanche les a formellement démentis.

Des prémices cyber en janvier

La CISA s’était déjà fendue, en début d’année, d’une alerte au sujet des cybermenaces origine Russie. Dans son collimateur, les infrastructures critiques – on se souviendra de l’épisode Colonial Pipeline, attribué au Kremlin.

L’alerte avait fait l’objet d’une mise à jour fin janvier. Et pour cause : la menace était devenue plus tangible. Pas aux États-Unis, mais en Ukraine, où on avait pu constater des défacements de sites d’État, conjugués à l’injection d’un wiper (malware destructeur de disques) « déguisé » en ransomware.

D’autres défacements de sites de l’appareil d’État ukrainien ont suivi. En particulier à la mi-février. Avec, parmi les victimes, les ministères de la Défense et des Affaires étrangères. Ainsi que plusieurs banques publiques, en tête desquelles Privatbank et Oschadbank. Quelques jours plus tard, la Maison Blanche a attribué les faits au renseignement russe. Preuves techniques à l’appui, a-t-elle affirmé. Son homologue britannique a fait de même.

Parallèlement à l’attaque contre les banques a eu lieu un envoi massif de SMS à la population. Le message : n’essayez pas d’utiliser les distributeurs de billets de Privatbank, ils sont hors service. La police cyber ukrainienne est intervenue pour signaler qu’il s’agissait d’une fausse information.

HermeticWiper et Cyclops Blink : le cœur du réacteur

Les attaques par déni de service (DoS) se sont poursuivies. Le 23 février, elles ont atteint un pic suffisamment important pour que le vice-Premier ministre lance un avertissement. Au rang des victimes, des sites dépendant du Parlement, des services nationaux de sécurité ou encore du cabinet des ministres.

Le même jour, on découvrait deux malwares... qui apparaissent toujours, à l'heure actuelle, comme les socles de l'offensive cyber en Ukraine. Et semble-t-il un peu au-delà. On les a baptisés HermeticWiper et Cyclops Blink.

Le premier est, comme son nom l'indique, un wiper. Il n'a pas de code en commun avec celui de janvier, en tout sur la foi de l'échantillon qu'a analysé IBM X-Force. Il a, en revanche, un comportement similaire. Ne serait que parce qu'il implique un ransomware - PartyTicket - qui paraît lui aussi surtout servir à faire diversion. Il fonctionne effectivement dans le contexte de privilèges de l'utilisateur, sans possibilité de les élever.

INTER

HermeticWiper utilise un certificat émis le 15 avril 2021. Il exploite un pilote légitime (du logiciel EaseUS Partition Manager) pour corrompre les 512 premiers octets du secteur d'amorçage des disques. Les machines infectées se compteraient par centaines. Dont certaines hors du territoire ukrainien (Lettonie et Lituanie).

L'activité de HermeticWiper a peut-être démarré dès novembre 2021. Symantec, en tout cas, recense un cas dans lequel le déploiement du wiper (23 janvier) a été précédé de la mise en place d'un webshell (16 janvier). L'accès au réseau ciblé était ouvert depuis fin 2021, par le biais d'une des failles Exchange alors largement médiatisées.

Qu'en est-il de Cyclops Blink ? On le décrit comme le successeur de VPNfilter. Sa principale fonction : exfiltrer des données sur des équipements réseau. Pour le moment, on ne l'a détecté que sur des firewalls Watchguard (appliances Firebox). Il est néanmoins modulaire, ce qui laisse craindre des infections plus larges.

Au souvenir de NotPetya et BlackEnergy

Derrière Cyclops Blink, il y aurait une équipe bien connue : Sandworm / Voodoo Bear, dite affiliée au renseignement militaire russe. On lui a attribué des attaques d'ampleur. Dont BlackEnergy (mise hors service d'une partie du réseau électrique ukrainien en 2015) et NotPetya.

Quant à savoir quel est le vecteur de diffusion de Cyclops Blink, le CERT ukrainien penche pour Katana. Le code source de cette variante du botnet Mirai dotée de capacités DDoS améliorées se trouve pour moins de 1000 $.

Watchguard estime que le malware a touché environ 1 % de ses pare-feu actifs. Leur point commun : tous avaient été paramétrés pour être administrables via le réseau internet. L'éditeur a mis à disposition des indicateurs de compromission et des méthodes de résorption de la vulnérabilité.

Des IoC, on en trouve aussi sur le GitHub d'Orange Cyberdefense. Autant pour HermeticWiper que pour Cyclops Blink. On pourra y assortir des règles YARA pour la détection et l'élimination de ces souches malveillantes.

L'Ukraine monte son « armée IT »

Au surlendemain de ces découvertes, le collectif Anonymous s'est officiellement déclaré « en guerre » contre le régime russe. Plusieurs de ses affiliés ont revendiqué des attaques - et des exfiltrations de données - contre Moscou. Le groupe Conti, qui porte le ransomware du même nom, a répliqué, en deux temps, se disant finalement prêt à réagir à d'éventuelles velléités offensives occidentales. D'autres groupes, comme Lockbit 2.0, jouent la neutralité.

Du côté du gouvernement ukrainien, on ne sollicite pas publiquement d'aide cyber d'autres nations. Mais on a décidé de créer une « armée IT ». Et on a listé une trentaine de cibles d'intérêt côté russe.

La faible probabilité que la Russie attaque directement des pays membres de l'OTAN, y compris sur le terrain cyber, engendre un certain consensus. Vladimir Poutine prendrait effectivement un risque substantiel au nom de l'article V du traité fondateur. Qu'on pourrait résumer ainsi : « attaquer l'un d'entre nous, c'est nous attaquer tous ».

Photo d'illustration © jcjgphotography - Shutterstock