La Russie a télégraphié ses intentions d’envahir l’Ukraine bien avant l’attaque de cette semaine en massant près de 200 000 soldats le long des frontières ukrainiennes et par les menaces de plus en plus belliqueuses de Vladimir Poutine.
Dans les coulisses, la Russie faisait plus que cela, y compris de dangereuses cyberattaques lancées contre l’Ukraine. Et comme c’est généralement le cas dans de telles attaques, Windows était le vecteur d’attaque.
« Nous avons observé des logiciels malveillants destructeurs dans les systèmes appartenant à plusieurs agences et organisations gouvernementales ukrainiennes qui travaillent en étroite collaboration avec le gouvernement ukrainien, Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, écrit dans un article de blog à la mi-janvier. « Le malware est déguisé en ransomware mais, s’il est activé par l’attaquant, il rendrait le système informatique infecté inutilisable. » Dans un article technique connexe détaillant le fonctionnement du logiciel malveillantMicrosoft a ajouté : « Ces systèmes [under cyberattack] couvrent plusieurs organisations gouvernementales, à but non lucratif et de technologie de l’information, toutes basées en Ukraine.
Notamment, l’argent n’était pas l’objet des attaques. Au lieu de cela, les attaquants voulaient détruire les systèmes et les données. Et ils ont réussi. Le logiciel malveillant a attaqué les systèmes Windows, écrasant les enregistrements de démarrage principaux (MBR) avec une note de rançon. Microsoft explique : « Le MBR est la partie d’un disque dur qui indique à l’ordinateur comment charger son système d’exploitation.
Après l’infection, « le logiciel malveillant s’exécute lorsque l’appareil associé est éteint », a déclaré Microsoft. « L’écrasement du MBR est atypique pour les rançongiciels cybercriminels. En réalité, la note de ransomware est une ruse et le malware détruit le MBR et le contenu des fichiers qu’il cible. (Le logiciel malveillant attaque également les fichiers d’autres manières.)
Les attaques, en substance, étaient le premier acte de guerre contre l’Ukraine ; ils présagent probablement plus à venir maintenant que la guerre totale a commencé.
Juste avant l’invasion de la Russie, une autre cyberattaque – peut-être plus dangereuse – contre l’Ukraine a eu lieu, selon CIODive; cette attaque utilise les appliances de pare-feu WatchGuard pour diffuser des logiciels malveillants. John Hultquist de Mandiant Threat Intelligence a déclaré à CIODive : « À la lumière de la crise en Ukraine, nous sommes très préoccupés par cet acteur, qui a surpassé tous les autres que nous suivons en termes de cyberattaques agressives et d’opérations d’information qu’il a menées. Aucune autre menace russe l’acteur a été si effronté et a réussi à perturber des infrastructures critiques en Ukraine et ailleurs. »
Le même message met également en garde contre un nouveau malware ciblant les machines Windows en Ukraine : HermeticWiper, dont le seul but est de détruire des données (également en ciblant leur MBR).
Il y a des raisons de croire que d’autres arrivent. « Les autorités américaines ont mis en garde pendant des mois contre les dommages collatéraux potentiels d’une incursion militaire russe en Ukraine », a rapporté CIODive. La nouvelle cyberactivité pourrait ricocher sur les entreprises multinationales, les chaînes d’approvisionnement et les infrastructures clés, comme les transports, l’énergie et les soins de santé.
Dans le même ordre d’idées, CybersécuritéDive expliqué comment les cyberattaques peuvent rapidement se propager et s’aggraver. « Alors que la pression internationale augmente sur le conflit entre la Russie et l’Ukraine, les grandes entreprises américaines – en particulier celles qui exploitent des infrastructures critiques – sont dans le collimateur d’une impasse militaire entre États-nations qui pourrait facilement se répandre sur le cyberterrain. La Russie, largement isolée par les États-Unis et les principaux alliés de l’OTAN, a démontré sa volonté et sa capacité à tirer parti d’un arsenal sophistiqué de cybercapacités de sa branche de renseignement militaire et d’une gamme de mandataires de la clandestinité criminelle du pays.
Les responsables du gouvernement américain pensent que les États-Unis seront également ciblés. Plus tôt ce mois-ci, ABC News a cité une note du Département américain de la sécurité intérieure qui a averti : « Nous estimons que la Russie envisagerait de lancer une cyberattaque contre la patrie si elle percevait qu’une réponse des États-Unis ou de l’OTAN à une éventuelle invasion russe de l’Ukraine menaçait sa sécurité nationale à long terme. »
Compte tenu de la paranoïa apparente de Poutine, il ne fait aucun doute qu’il pense que les réponses des États-Unis et de l’OTAN à l’invasion – y compris les sanctions et d’autres formes de douleur économique – menaceront la sécurité nationale à long terme de la Russie. Ainsi, nous pouvons nous attendre à ce que les attaques commencent à tout moment.
Qu’est-ce que cela signifie pour les entreprises? Beaucoup. Avec les cyberattaques russes contre les États-Unis, même si votre entreprise n’exploite pas d’infrastructures critiques ou n’a rien à voir avec les finances ou la sécurité, elle sera dans le collimateur. Lorsque des attaques de grande envergure sont lancées, elles prennent une vie propre et ciblent toutes les entreprises qu’elles peuvent.
Si les entreprises n’ont pas encore pris de mesures de sécurité renforcées, elles sont déjà en retard. Il est temps de durcir vos défenses extérieures. Corrigez tous les systèmes qui peuvent être corrigés. Consultez les bulletins de sécurité de Microsoft. Apprenez à votre personnel à reconnaître les attaques par e-mail et mobiles.
Et reconnaissez que ce n’est que le début. Cette guerre n’est que la première dans laquelle des cyberattaques accompagneront des dommages réels. Étant donné le penchant de l’humanité pour la guerre, d’autres guerres suivront. Et Windows, en raison de son utilisation généralisée, restera une cible clé.
Copyright © 2022 IDG Communications, Inc.