Analyse de l'attaque informatique Russe sur l'Ukraine

Rapport concernant les attaques informatiques Russe sur l'Ukraine.

Avant toute chose, il est important de préciser le fait suivant, bien que les attaques proviennent de la Russie, rien n'a jamais été prouvé concernant les capacités du Kremlin dans la cyber guerre. Cela peut très bien être des actions nationalistes.

Le rapport d'analyse porte sur les points suivants.

1 - Introduction de l'analyse.

2 - Observation concernant le déni de Service.

3 - Observation concernant la défiguration (déface) des sites Ukrainiens.

4 - Observation concernant le virus "Hermetic Wiper".

5 - Hermetic Wiper vs FloreSecurity.

6 - Analyse de la stratégie de cyber défense Ukrainienne.

7 - Analyse des représailles.

8 - FIN.

1 - Introduction de l'analyse.

La Russie est un des pays qui compte le plus de forum et le site dont l'intérêt premier est le piratage informatique, l'hacking, et la cybersécurité. Il n'y a de facto rien d'étonnant à ce que des nationalistes Russes puissent lancer des attaques informatiques dans les intérêts de leur pays, et c'est tout à leur honneur bien que je sois en profond désaccord avec la Russie depuis toujours. Mais là on touche l'opinion idéologique, l'opinion politique, mon avis sur le président Russe n'est pas le sujet ici.

Cette analyse n'a pour vertu que d'observer les évènements dans l'espace cybernétique de l'Ukraine, afin d'anticiper a l'avenir sur les réseaux de l'OTAN et de l'Europe les actions de cette adversaire.

2 - Observation concernant le déni de service.

Le déni de service, c'est l'attaque informatique la plus utilisé dans le monde. Elle est simple à mettre en place, et quand son débit est suffisant, les conséquences sont une perte de connexion sur la cible.

Le déni de service lancé depuis le territoire Russe sur les réseaux Ukrainien été employé dans deux opérations bien distinctes.

- La première opération, c'est l'attaque des infrastructures web de l'Ukraine, le déni de service a dans ce cadre pour utilité de faire diversion, l'administration se concentre alors sur le déni de service et son atténuation sans faire attention aux attaques plus sophistiquées.

- La seconde opération, c'est le parasitage des réseaux de l'Ukraine afin d'essayer de bloquer les communications. Bien que cette opération n'ait pas vraiment marché. Si cette thèse est avancée par des confrères, je pense pour ma part que ce qui a déstabilisé les communications Ukrainiennes, c'est davantage l'état physique des infrastructures servant à faire fonctionner internet en Ukraine, ou de simple coupure d'électricité.

À noter que les attaques par déni de service sont très utiles dans le cas d'un pays comme l'Ukraine qui n'a pas de budget cyber défense et des serveurs de petite taille.

3 - Observation concernant la défiguration (déface) des sites Ukrainiens.

C'est justement ce qui a mon sens a été camouflé par le déni de service. En faisant cela, les administrateurs se sont concentré sur l'attaque par déni de service de peur de ne plus pouvoir afficher les informations sur leur site web, et n'ont pas fait attention à d'autres actions.

À mon avis le déni de service était là pour camoufler des processus d'analyse et d'injection des infrastructures web, voir camoufler des attaques par Brute Force consistant à tester le plus de mot de passe possible sur la page de connexion de l'administration.

4 - Observation concernant le virus "Hermetic wiper".

Nous avons reçu un échantillon du virus "Hermetic wiper", qui est un virus qui compresse le secteur de démarrage MBR (Master Boot Record). Les ordinateurs sous MBR sont vieillissants, et seront toujours plus fragiles face aux wiper s'attaquant au secteur de démarrage que les récentes technologies EFI.

Concernant l'analyse faite, nous savons que Hermetic Wiper va se servir d'un service qu'il importera pour atteindre le MBR (vous avez là un programme malveillant qui se contente de détourner un service, en l'occurrence un fichier pilote "EaseUS Partition Master" obsolète, de la société Chinoise "CHENGDU YIWO Tech Development").

Il va créer le service, il va modifier la valeur de la clé de registre "SYSTEM\CurrentControlSet\Control\CrashControl" "CrashDumpEnabled" et la passer à "0", afin d'empêcher les rapports d'erreur système d'être déclenché. Cela s'explique par le fait qu'ils ont juste synchronisé leur programme malveillant avec le fichier pilote "EaseUS Partition Master", ce pilote comme mentionné plus haut est obsolète et cela peut générer des erreurs critiques, qui feront apparaitre un écran bleu et donc un redémarrage avec analyse voir réparation système.

Ensuite, il relance l'ordinateur, et au démarrage le service est installé puis exécuter.

Malgré son instabilité apparente, le programme joue son rôle, il compresse le secteur de démarrage MBR et empêche l'ordinateur de démarrer. Dès lors, l'ordinateur doit subir un reformatage.

Toutefois, Hermetic Wiper a besoin au minimum des privilèges d'administrateur pour pouvoir fonctionner correctement. S'il n'est pas exécuté avec les privilèges administrateurs, il ne pourra pas atteindre les registres "System" et "Local Machine", ni charger un quelconque périphérique.

Il y a là aussi un amateurisme de la part de l'attaquant qui n'a semble-t-il pas les compétences nécessaires pour faire une élévation de privilège, dans notre cas nous disposons pour nos essais de pas moins de 5 méthodes d'élévation que nous avons développées.

5 - Hermetic Wiper vs FloreSecurity.

Nous avons après notre analyse exécuter le programme malveillant face à notre suite de sécurités "FloreSecurity Endpoint Security System" qui a détecté la menace sans modification préalable.

Majorité des antivirus du grand marché on eut à faire une mise à jour de leur base de donné, bien qu'à leur où j'écris cet article, Baidu, Comodo, Cybereason, F-Secure, SentinelOne, Trend Micro, n'ont toujours pas la capacité de détecter ce programme malveillant.

Dans le cas de SentinelOne, ils ont posté un article ou ils donnent pas mal d'informations intéressants, je pense qu'une solution est à l'étude de leur côté.

Nos méthodes et les évènements de ces dernières années nous confortent dans notre stratégie de sécurité.

6 - Analyse de la stratégie de cyber défense Ukrainienne.

Si on devait résumer en un mot l'ensemble de la stratégie de cyber défense Ukrainienne, se serrait "néant".

Il n'y a pas à notre connaissance de budget sécurité informatique en Ukraine, ce qui s'explique principalement par le fait que l'Ukraine, au Vu du pédigrée de ses voisins, a légitimement préféré s'équiper d'arme létale.

Sur ce qui concerne le dénie de service, leurs serveurs comme leurs infrastructures réseau sont dépassé en raison de leur age. Idem pour les infrastructures web, des sites de l'éxécutif Ukrainien on été défiguré, alors que ce sont des attaques plutôt primaire au yeux de nos experts en sécurité web.

Pour ce qui est du virus Hermetic wiper, il est évident que si les ordinateurs attaqués avaient été correctement configurés (une session administrateur déconnecté et une session normale pour l'usage), et qu'un bon système antivirus avait été installé, jamais ce virus mal programmé par un petit Sergueï au fond d'une cave, n'aurait pu faire le moindre dégat.

7 - Analyse des représailles.

Tout d'abord, nous envisageons si les évènements de cyberguerre en Ukraine venaient à venir jusqu'en Europe, a notre niveau, lancé des représailles.

Nous ne donnerons pas les moyens ici, une entrée en cyberguerre de notre part reste hypothétique, mais nous allons expliquer dans ce dernier point pourquoi les activistes (anonymous ou autres) ne font dans leur cyberguerre contre la Russie, que tapper dans l'eau avec une épée en mousse.

Il faut savoir que les sites web Russes visible par nos ordinateurs ne sont que des panneaux d'affichage, le gros de l'internet russe n'est PAS ATTEIGNABLE par nous, dans la mesure où ils ont développé leur propre internet quand tous les autres pays dépendent du même internet. Les protocoles changeants, les architectures changent et donc la visibilité par nos outils est restreinte.

Quand Anonymous se targue d'avoir fait fermer des sites web de l'exécutif Russe, ils n'ont pas anticipé dans leur amateurisme primaire que ce n'était que des petits panneaux d'affichage, et que tout le réseau informatique Russe est protégé de toute attaque extérieure, pour l'instant.

Voilà comment ça c'est passer pour l'administrateur du site Russe. Il étant tranquillement assis sur son fauteuil dans ça cabane au fin font de la Sibérie, en train de déguster une vodka saveur urine d'ours en écoutant "Boney M. - Rasputin".

Quand il a vu que des enfants en pleine puberté ou des chômeurs anarchiste cherchaient à se connecter massivement à son site, ils sont venu, il a vu, il a coupé la connexion de son serveur parce-qu'il avait envie de prendre des vacances avant de montée dans un t-34 pour aller jouer au conquérant face aux civils désarmés de l'Ukraine.

Bref, initiative ridicule par des attaquants ridicules a l'encontre d'un site tout aussi ridicule, qui n'était qu'un panneau d'affichage pour donner quelques informations au monde extérieur à la Russie.

Si on veut dans le cadre de la cyberguerre être efficace durablement face à la Russie, il faut dans un premier temps veiller à protéger nos concitoyens et cela passe par les équiper de bon antivirus et le formé a la cybersécurité.

En suite, chercher les échantillons des programmes malveillants Russe et les analyser dans des environnements virtuel ou par le biais de lecteur de code afin de prendre des mesures contre leurs évolutions.

8 - FIN.

Nous mettrons à jour ce poste au fur et à mesure que nous récupérerons des informations concernant cette campagne de cyber guerre en Ukraine.

À bientôt.