Un avis de la CISA alerte sur des cyberattaques de la Russie
Le 24 février dernier, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis sur l'intensification des actions « perturbatrices » de la Russie, juste après la détection par l'Ukraine d'une cyberattaque contre des sites Web gouvernementaux.
Dans un avis publié le 24 février, l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) invitait les entreprises à être plus vigilantes en matière de cybersécurité le jour anniversaire de l'invasion de l'Ukraine par la Russie, suite à une cyberattaque contre plusieurs sites web gouvernementaux ukrainiens. « Les États-Unis et les pays européens risquent de subir des attaques perturbatrices et des sabotages de sites Web afin de créer chaos et trouble social », indiquait l'avis de la CISA. Détectée le jeudi 23 février, la cyberattaque en Ukraine a touché les sites web d'un certain nombre d'autorités centrales et locales, « modifiant le contenu de certaines de leurs pages web », selon un communiqué du Service d'État de la communication spéciale et de la protection de l'information de l'Ukraine. « Apparemment, à la veille de l'anniversaire de l'invasion à grande échelle, la Russie tente de rester visible dans le cyberespace où elle se comporte, là aussi, comme un État terroriste en attaquant des cibles civiles », a déclaré l'agence d'État ukrainienne. « L'attaque n'a pas entraîné d'interruptions critiques du système et la plupart des ressources informatiques touchées ont été rapidement récupérées », a précisé l'agence. Selon le Computer Emergency Response Team of Ukraine (CERT-UA), qui a découvert les attaques après avoir examiné un web shell sur l'un des sites web piratés que les acteurs de la menace ont utilisé pour installer des logiciels malveillants, les sites web ont été compromis à l'aide d'une porte dérobée mise en place en décembre 2021. « Le web shell a été utilisé pour installer plusieurs portes dérobées (appelées CredPump, HoaxPen et HoaxApe) il y a un an, et a créé un fichier index.php dans le répertoire web racine, ce qui a modifié le contenu des sites concernés », a aussi indiqué le CERT-UA.
Une cyberattaque attribuée au groupe Ember Bear, aligné sur la Russie
Le CERT-UA a attribué la cyberattaque au groupe Ember Bear, également connu sous le nom de UAC-0056 ou Lorec53. Ember Bear est un groupe de cyberespions qui opère en Europe de l'Est depuis le début de l'année 2021. « Après examen des ressources web, différents indices nous font penser que le mode opératoire peut être attribué au groupe UAC-0056 », a déclaré le CERT-UA. Selon un rapport hebdomadaire du Threat Analysis Group de Google, les attaquants soutenus par le gouvernement russe ont intensifié les cyberattaques à partir de 2021, pendant la période précédant l'invasion. « En 2022, la Russie a augmenté le ciblage des utilisateurs en Ukraine de 250% par rapport à 2020, et le ciblage des utilisateurs dans les pays de l'Otan a augmenté de plus de 300% au cours de la même période », a déclaré Google. « Nous pensons de manière sûre que les attaquants soutenus par le gouvernement russe continueront à mener des cyberattaques contre l'Ukraine et les partenaires de l'Otan pour favoriser les objectifs stratégiques russes », indique encore le rapport. Ce dernier précise également que Moscou multipliera ce type d'attaques en réponse aux développements sur le champ de bataille qui modifient fondamentalement l'équilibre en faveur de l'Ukraine. « Ces attaques viseront principalement l'Ukraine, mais s'étendront de plus en plus pour inclure les partenaires de l'Otan », indique encore Google.
Les groupes russes ou alignés sur la Russie ciblent de plus en plus les pays ayant manifesté leur soutien à l'Ukraine. Mardi dernier, Mike Burgess, directeur général de l'Australian Security Intelligence Organisation (ASIO), a annoncé le démantèlement d'un réseau d'espionnage russe dont les membres se faisaient passer pour des diplomates en Australie. « Les espions étaient très bien entraînés et utilisaient des techniques sophistiquées pour tenter de dissimuler leurs activités, et ont été expulsés du pays », a-t-il déclaré. Selon un rapport publié vendredi par le Sydney Morning Herald, le réseau d'espionnage a fonctionné pendant 18 mois avant d'être démantelé. Dans son avis, la CISA a déclaré qu'elle maintenait des ressources en matière de cybersécurité, notamment Shields Up, « une page web à guichet unique qui fournit des ressources pour accroître la vigilance des organisations et tenir le public informé des menaces actuelles en matière de cybersécurité », selon sa présentation.