Les autorités russes affirment avoir rapidement déjoué une cyberattaque qui visait à compromettre les sites Web du gouvernement via un widget de statistiques piraté.
Le logiciel, développé par le ministère russe du Développement économique et intégré aux sites Web de plusieurs agences publiques, a été piraté mardi 8 mars, ce qui a permis à des pirates non identifiés de « publier un contenu incorrect sur les pages des sites Web », un représentant de l’agence de communication russe Raconté agence de presse officielle Interfax.
Bien que l’incident ait été « rapidement localisé », il a néanmoins entraîné une interruption du fonctionnement des sites Web concernés pendant une courte période avant que les services ne soient rétablis à la normale « en moins d’une heure », selon Interfax.
Le widget utilisé pour collecter les statistiques des visiteurs aurait été piraté par des parties non identifiées dans le cadre d’une attaque de la chaîne d’approvisionnement logicielle.
Plugin populaire
Interfax rapporte que les sites Web compromis comprenaient ceux gérés par le « Service pénitentiaire fédéral russe, le Service fédéral des huissiers, le Service fédéral antimonopole, le ministère de la Culture, le ministère de l’Énergie, le Service fédéral des statistiques et un certain nombre d’autres agences ».
Les autorités russes minimisent l’incident.
Bien qu’il soit difficile d’obtenir une évaluation indépendante de la gravité de l’apparente campagne de défiguration, l’incident peut néanmoins être considéré comme un exemple de conflit qui a accompagné l’invasion de l’Ukraine par la Russie et s’est répandu dans le cyberespace.
De même, plus tôt ce mois-ci, au moins 30 sites Web d’universités ukrainiennes ont été piratés dans le cadre d’une opération plus vaste menée par des attaquants pro-russes contre des sites hébergés par WordPress.
Quelques jours après l’invasion de l’Ukraine par la Russie, une souche de logiciels malveillants destructeurs – surnommée « HermeticWiper » – s’est déchaînée. Cela a ensuite infecté « des centaines de systèmes dans au moins cinq organisations ukrainiennes », selon le fournisseur de logiciels de sécurité ESET.
Contre attaque
Entre-temps, lors d’une attaque contre des cibles russes, les attaquants ont lancé le logiciel malveillant dit « RURansom ».
Malgré son nom, RURansom est mieux considéré comme un effaceur de données que comme un ransomware au sens le plus pur, car il supprime le clé de chiffrement séparée et individuelle utilisé pour chiffrer chaque fichier au fur et à mesure qu’il se propage, comme expliqué dans un rédaction de la menace par Trend Micro.
« Il s’agit d’un essuie-glace, donc les fichiers cryptés sont perdus et la récupération n’est possible qu’à partir d’une sauvegarde, si [they] existe », a déclaré Trend Micro La gorgée quotidienne.
Le malware – repéré pour la première fois par des chercheurs indépendants en sécurité MalwareHunterÉquipe début mars, est écrit dans le langage de programmation .NET et se propage comme un ver en se copiant sous le nom de fichier ‘Россия-Украина_Война-Обновление.doc[dot]exe’ (‘Russia-Ukraine_War-Update.doc[dot]EXE’).
Plusieurs versions du logiciel malveillant tentent de vérifier si la machine cible se trouve en Russie avant de commencer sa routine d’infection et de destruction de fichiers, indiquant un degré de ciblage.
Une note laissée sur les machines compromises indique explicitement que le logiciel malveillant est conçu pour nuire à la Russie.
La note a été écrite à l’origine en bengalais. Ces facteurs et d’autres ont permis à Trend Micro de supposer que l’auteur est originaire de l’ouest de l’Inde et qu’il a développé d’autres souches de logiciels malveillants précédemment liés à l’extraction de crypto-monnaie.
« Nous pensons qu’il a été créé par un individu, probablement basé en Inde, comme indiqué dans la » note « », selon Trend Micro.
On ne sait pas combien de machines le malware RURansom spécifique à Windows a infectées. « Sur la base de notre télémétrie, nous n’avons vu aucune cible dans notre base d’utilisateurs », a déclaré Trend Micro. La gorgée quotidienne.