Invasion en Ukraine : les sites Web universitaires hébergés par WordPress piratés lors d' »attaques ciblées »

Au moins 30 sites Web d’universités ukrainiennes ont été piratés lors d’une attaque ciblée qui aurait été lancée pour soutenir l’invasion russe du pays européen.

Dans un rapport publié hier soir (1er mars), des chercheurs de Wordfence ont déclaré que la société avait été témoin d’une « attaque massive » contre des établissements d’enseignement ukrainiens par des acteurs menaçants identifiés comme le « Monday Group », qui, selon elle, a publiquement soutenu les récentes actions de la Russie.

Le groupe, dont les membres se désignent eux-mêmes comme « le Mx0nday », a ciblé les sites hébergés par WordPress plus de 100 000 fois depuis le 24 février, lorsque les troupes russes ont officiellement envahi l’Ukraine.

Cyberattaques

Un article de blog du fondateur et PDG de Wordfence, Mark Maunder, explique que la société protège plus de 8 000 sites Web en Ukraine, y compris ceux appartenant à plus de 300 institutions universitaires. Il fournit également un soutien aux sites Web du gouvernement, de l’armée et de la police.

La société de sécurité a déclaré avoir été témoin d’un pic de 144 000 attaques Web le 25 février, un jour après le début de l’attaque cinétique, explique Maunder.

« Le pic est d’environ trois fois le nombre d’attaques quotidiennes du début du mois sur les sites Web ukrainiens que nous protégeons », a-t-il écrit.

Maunder a ajouté: « Un attaquant faisait un effort concerté pour attaquer des universités en Ukraine, et ils ont commencé immédiatement après le début de l’invasion russe. »

Une enquête sur les attaques a identifié quatre adresses IP derrière la campagne, qui sont acheminées via un service VPN basé en Suède.

Le groupe de piratage semble également avoir des liens avec le Brésil, où Wordfence a affirmé qu’il était basé.

Cependant, les personnes à l’origine de l’incident n’ont pas encore été identifiées publiquement.

Campagne destructrice

Le rapport fait suite à une nouvelle étude d’ESET, qui indique que plusieurs familles de logiciels malveillants sont désormais utilisées dans des attaques ciblées contre des organisations ukrainiennes.

UN article de blog d’ESET a détaillé que le 23 février, une « campagne destructrice » utilisant HermeticWiper ciblait plusieurs organisations.

LIRE LA SUITE Un essuie-glace de données déployé dans des cyberattaques ciblant des systèmes ukrainiens

L’attaque a utilisé au moins trois composants; HermeticWiper, qui rend un système inutilisable en corrompant ses données ; HermeticWizard, qui diffuse HermeticWiper sur un réseau local via WMI et SMB ; et HermeticRansom, ransomware écrit en Go.

« Cette cyber-attaque a précédé de quelques heures le début de l’invasion de l’Ukraine par les forces de la Fédération de Russie », indique le blog.

« Les artefacts de logiciels malveillants suggèrent que les attaques étaient planifiées depuis plusieurs mois. »

HermeticWiper a été observé « sur des centaines de systèmes dans au moins cinq organisations ukrainiennes », affirme ESET, qui a noté qu’il n’a trouvé aucun lien tangible avec un acteur de menace connu.