Auteur Sujet: Cyberattaque-Wiperware-Microsoft-Fortinet  (Lu 488 fois)

0 Membres et 1 Invité sur ce sujet

joel19

  • Abonné Orange Fibre
  • *
  • Messages: 1 269
  • Expert en cuistre / Informé /Anti-raciste
    • Ligue Internationale Contre le Racisme et l’Antisémitisme
Cyberattaque-Wiperware-Microsoft-Fortinet
« le: 11 mars 2022 à 06:39:52 »
La mission secrète des États-Unis pour renforcer les cyberdéfenses de l'Ukraine avant l'invasion de la Russie.

L'année dernière, des soldats et des experts américains se sont déployés dans tout le pays pour contrecarrer une cyberattaque russe attendue.

Quelques mois avant l'invasion russe, une équipe d'Américains s'est déployée en Ukraine à la recherche d'un type de menace très spécifique.

Certains étaient des soldats du Cyber Command de l'armée américaine. D'autres étaient des contractants civils et certains employés de sociétés américaines qui contribuent à défendre les infrastructures critiques contre le type de cyberattaques que les agences russes infligent à l'Ukraine depuis des années.

Les États-Unis aidaient l'Ukraine à renforcer ses cyberdéfenses depuis des années, depuis qu'une tristement célèbre attaque de 2015 sur son réseau électrique a laissé une partie de Kiev sans électricité pendant des heures.

Mais cet afflux de personnel américain en octobre et novembre était différent : il s'agissait de préparer une guerre imminente. Des personnes familières de l'opération ont décrit une urgence dans la chasse aux logiciels malveillants cachés, le genre que la Russie aurait pu planter, puis laisser en sommeil en vue de lancer une cyberattaque dévastatrice parallèlement à une invasion terrestre plus conventionnelle.

Les experts préviennent que la Russie pourrait encore déclencher une attaque en ligne dévastatrice contre l'infrastructure ukrainienne, du type de celle que les responsables occidentaux attendent depuis longtemps. Mais des années de travail, associées à un renforcement ciblé au cours des deux derniers mois, peuvent expliquer pourquoi les réseaux ukrainiens ont résisté jusqu'à présent.

   Les responsables ukrainiens et américains prennent soin de décrire le travail des "équipes de cybermission" comme étant défensif, comparé aux milliards de dollars d'armes mortelles qui ont afflué en Ukraine pour combattre et tuer les soldats russes.

Les attaques russes ont été étouffées parce que "le gouvernement ukrainien a pris des mesures appropriées pour contrer et protéger nos réseaux", a déclaré Victor Zhora, un haut responsable du gouvernement ukrainien.

   Dans les chemins de fer ukrainiens, l'équipe de soldats et de civils américains a découvert et nettoyé un type de logiciel malveillant particulièrement pernicieux, que les experts en cybersécurité surnomment "wiperware" - désactivant des réseaux informatiques entiers simplement en supprimant des fichiers cruciaux sur commande.

Au cours des dix premiers jours de l'invasion russe, près d'un million de civils ukrainiens ont pu se mettre en sécurité grâce au réseau ferroviaire. Si le logiciel malveillant n'avait pas été découvert et avait été déclenché, "cela aurait pu être catastrophique", a déclaré un responsable ukrainien connaissant bien la question.

Un logiciel malveillant similaire n'a pas été détecté au sein de la police des frontières et, la semaine dernière, alors que des centaines de milliers de femmes et d'enfants ukrainiens tentaient de quitter le pays, les ordinateurs du point de passage vers la Roumanie ont été désactivés, ajoutant au chaos, selon des personnes au fait de la question.

Avec un budget beaucoup plus modeste - environ 60 millions de dollars - ces équipes ont également dû préparer le terrain avec des groupes privés qui fournissent l'épine dorsale de la plupart des infrastructures que les pirates russes, affiliés ou non à des gouvernements, étaient censés attaquer.

Le dernier week-end de février, la police nationale ukrainienne, ainsi que d'autres services gouvernementaux ukrainiens, ont été confrontés à une attaque massive de "dénis de service distribués" (DDoS), des attaques relativement simples qui mettent hors service des réseaux en les inondant de demandes de petites quantités de données provenant d'un grand nombre d'ordinateurs.

En quelques heures, les Américains ont contacté Fortinet, un groupe californien de cybersécurité qui vend une "machine virtuelle" conçue pour contrer ce type d'attaque.

Le financement a été approuvé en quelques heures et le ministère américain du commerce a donné son accord en 15 minutes. Dans les huit heures qui ont suivi la demande, une équipe d'ingénieurs a installé le logiciel de Fortinet sur les serveurs de la police ukrainienne pour repousser l'assaut, a déclaré une personne au courant de cette opération rapide.

Le fait que ces attaques ciblent souvent des logiciels disponibles dans le commerce - essentiellement des fabricants occidentaux - a obligé les grandes entreprises américaines et européennes à consacrer des ressources à la défense des réseaux ukrainiens.

Microsoft, par exemple, gère depuis des mois un centre de renseignement sur les menaces qui a placé ses ressources entre les logiciels malveillants russes et les systèmes ukrainiens.

Le 24 février, quelques heures avant que les chars russes ne commencent à déferler sur l'Ukraine, les ingénieurs de Microsoft ont détecté et procédé à la rétro-ingénierie d'un logiciel malveillant nouvellement activé, a déclaré Brad Smith, président de Microsoft, dans un billet de blog.

   Dans les trois heures qui ont suivi, l'entreprise a publié une mise à jour logicielle pour se protéger contre le logiciel malveillant, a averti le gouvernement ukrainien de la menace et a prévenu l'Ukraine d'"attaques contre toute une série de cibles", y compris l'armée. Sur les conseils du gouvernement américain, Microsoft a immédiatement étendu l'avertissement aux pays voisins de l'OTAN, a déclaré une personne familière avec la décision prise en fin de soirée.

"Nous sommes une entreprise et non un gouvernement ou un pays", a écrit M. Smith, mais il a ajouté que Microsoft et d'autres fabricants de logiciels devaient rester vigilants face à ce qui s'est passé en 2017, lorsqu'un logiciel malveillant attribué à la Russie s'est propagé au-delà des frontières de la cyberarène ukrainienne pour atteindre le monde entier, mettant hors service des ordinateurs chez Merck, Maersk et ailleurs et causant 10 milliards de dollars de dommages.

Jusqu'à présent, les experts qui ont observé les cyberattaques russes ont été déconcertés par leur manque de succès, ainsi que par le rythme, l'intensité et la sophistication moindres de ce dont les pirates du gouvernement russe sont connus pour être capables.

   Les défenses ukrainiennes se sont avérées résistantes, a déclaré un responsable européen qui a été informé cette semaine par les Américains lors d'une réunion de l'OTAN, et les offensives russes se sont avérées médiocres. Selon lui, la raison en est que, jusqu'à présent, la Russie a retenu son corps d'élite dans l'arène cybernétique, tout comme elle l'a fait sur le champ de bataille, peut-être en sous-estimant les Ukrainiens.

Par exemple, au lieu de communiquer uniquement par le biais de téléphones militaires cryptés, les commandants russes se servent parfois des réseaux de téléphonie mobile ukrainiens pour communiquer, parfois simplement en utilisant leurs téléphones mobiles russes.

"Les Ukrainiens adorent cela - il y a tellement de données à obtenir simplement en surveillant ces téléphones, qu'ils utilisent ou non des applications cryptées", a-t-il déclaré.

Les Ukrainiens bloquent ensuite les téléphones russes de leurs réseaux locaux à des moments clés, brouillant davantage leurs communications. "Puis vous voyez soudain des soldats russes s'emparer des téléphones portables des Ukrainiens dans la rue, faire des raids dans les ateliers de réparation pour obtenir des sims", a-t-il dit. "Ce n'est pas quelque chose de sophistiqué. C'est assez déroutant."


Auteurs : Mehul Srivastava and Madhumita Murgia in London, Hannah Murphy in San Francisco

Source : https://www.ft.com/content/1fb2f592-4806-42fd-a6d5-735578651471




joel19

  • Abonné Orange Fibre
  • *
  • Messages: 1 269
  • Expert en cuistre / Informé /Anti-raciste
    • Ligue Internationale Contre le Racisme et l’Antisémitisme
Cyberattaque-Wiperware-Microsoft-Fortinet
« Réponse #1 le: 09 avril 2022 à 17:39:10 »
Cyberguerre : pourquoi la Russie peine-t-elle en Ukraine ?

par Maxime Fayolle, Cellule investigation de Radio France publié le 8 avril 2022 à 6h18

En dépit d’un travail de sape et de quelques attaques au début de la guerre, la Russie ne parvient pas à déstabiliser l’Ukraine sur le plan numérique

C’était l’une des craintes majeures de certains experts au moment de l’invasion russe : "on redoutait un Pearl Harbor numérique", explique Julien Nocetti, enseignant-chercheur à l’académie militaire de St-Cyr Coëtquidan en Bretagne, spécialiste des stratégies numériques et cyber de la Russie. "Mais celui-ci n’a pas eu lieu". La Russie est une cyber puissance dont la capacité d’attaque n’est plus à démontrer. Depuis 2014 et l’annexion de la Crimée, l’Ukraine a été constamment pilonnée par des pirates informatiques russes. L’exemple le plus marquant est le recours au rançongiciel NotPetya qui a paralysé une partie de l’économie ukrainienne. Ses effets avaient alors largement débordé des frontières du pays. Même en France, plusieurs entreprises comme Saint-Gobain, avaient été touchées. Plus surprenant : le logiciel malveillant avait aussi eu des effets indésirables jusqu’en Russie.

Mais depuis, ses tentatives se sont soldées par des demi-échecs. Le 24 février dernier, au tout début de l’invasion en Ukraine, "un satellite américain ViaSat a été la cible d’une cyberattaque", raconte à la cellule investigation de Radio France Stéphane Duguin du CyberPeace Institute, basé à Genève. "Ses modems au sol ont été victimes d’une mise à jour malveillante. Ce satellite est très utilisé par l’armée ukrainienne. Mais il avait aussi d’autres clients, et notamment des particuliers en France qui l’utilisent pour avoir accès à Internet.” Résultat : “Près de 10 000 français se sont retrouvés sans connexion, près de 40 000 personnes au total en Europe. Et en Allemagne, et on a perdu le contrôle de près de 6 000 éoliennes pilotées par ce satellite.”

Des effets manifestement très éloignés de ceux qui étaient recherchés par les pirates, synthétise Rayna Stamboliyska, experte en diplomatie numérique : "L’intérêt d’une telle manœuvre était d’empêcher que les Ukrainiens se coordonnent au début de l’invasion. M. Poutine et son équipe prévoyaient une invasion éclair. C’est pour ça qu’il aurait été pertinent d’interrompre les communications entre les forces armées ukrainiennes pour semer le désordre, les empêcher de réagir, et de résister." Mais cela ne s’est pas produit. Au total, une trentaine de campagnes de cyberattaques russes ont été documentées par le CyberPeace Institute, mais là encore, avec des effets assez limités.

(................)

Des cyber-mercenaires au service de la Russie

Si pour l’instant, la Russie est tenue en échec, les experts de la question cyber restent prudents sur les potentielles suites de la guerre. "L’arme numérique peut toujours être utilisée dans la suite du conflit", estime Nicolas Arpagian spécialiste de la cybermenace, car elle est disponible. "Les États peuvent l’utiliser soit directement, soit par l’intermédiaire de cyber-mercenaires : des gens qui vont conduire des attaques offensives sans formellement engager la responsabilité d’un État." Or dans ce domaine, la Russie est bien armée. Des liens directs entre des groupes de cybercriminels et le FSB (les services secrets russes) ont pu être documentés très récemment grâce aux “Conti Leaks”, une fuite de données géante d’un des principaux groupes de pirates d’Europe de l’Est.

Ce groupe de hackers était composé de Russes, de Biélorusses mais aussi d’Ukrainiens qui travaillaient ensemble jusqu’à l’invasion de l’Ukraine. Conti ayant pris position publiquement pour Vladimir Poutine, des Ukrainiens de Conti ont fait sécession et ont décidé de faire éclater le groupe. Mais en partant, ils ont pris soin de faire fuiter des milliers de documents internes sur le dark web. Le public a ainsi pu découvrir pour la première fois ce qui se passait à l'intérieur d’un grand groupe de hackers. Un coup dur pour l’organisation criminelle, dont on a appris quel était son mode de fonctionnement, ses cibles, ses revenus, et ses liens avec le Kremlin.

(.............)

La menace des implants

Dans la foulée, l’agence de cyberdéfense américaine a publié deux notes accusant la Russie d’avoir déposé des implants dans des entreprises liées au secteur de l’énergie. Ces implants, sortes de bombes à retardement numériques, pourraient être déclenchés plus tard par certains pirates et avoir de graves conséquences. La France a elle-même découvert ce genre d’implants, en 2018, Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité et des systèmes d'information (ANSSI) annonçait devant des sénateurs : "Nous avons détecté des cas très inquiétants, notamment une tentative d'intrusion de systèmes de cartographie liés au secteur de l'énergie, qui n'avait qu'un but : la préparation d'actions violentes futures. Imaginez les conséquences sur le fonctionnement d'un pays d'une attaque sur les réseaux de distribution
d'énergie."


L'article complet : https://www.franceinter.fr/societe/cyberguerre-pourquoi-la-russie-est-elle-a-la-peine-en-ukraine

plus  https://www.franceinter.fr/emissions/secrets-d-info/secrets-d-info-du-samedi-09-avril-2022

joel19

  • Abonné Orange Fibre
  • *
  • Messages: 1 269
  • Expert en cuistre / Informé /Anti-raciste
    • Ligue Internationale Contre le Racisme et l’Antisémitisme
Cyberattaque-Wiperware-Microsoft-Fortinet
« Réponse #2 le: 17 mai 2022 à 15:48:01 »
La Russie a piraté une société américaine de satellites une heure avant l'invasion de l'Ukraine.

L'attaque contre Viasat met en évidence le rôle émergent du cyberespace dans la guerre moderne.


Une heure à peine avant que les troupes russes n'envahissent l'Ukraine, des pirates informatiques du gouvernement russe ont pris pour cible la société américaine de satellites Viasat, ont déclaré aujourd'hui des responsables des États-Unis, de l'Union européenne et du Royaume-Uni.

L'opération a entraîné une perte immédiate et importante de communication dans les premiers jours de la guerre pour l'armée ukrainienne, qui dépendait des services de Viasat pour le commandement et le contrôle des forces armées du pays.

La cyberattaque de Viasat est le plus grand piratage connu de la guerre, déclare Juan Andres Guerrero-Saade, chercheur en menaces à la société de cybersécurité SentinelOne, "car il s'agit de l'effort le plus concerté pour désactiver les capacités militaires ukrainiennes." C'est aussi l'un des premiers exemples concrets de la façon dont les cyberattaques peuvent être ciblées et programmées pour amplifier les forces militaires sur le terrain en perturbant, voire en détruisant, la technologie utilisée par les forces ennemies.

L'attaque, qui a eu lieu le 24 février, a lancé un logiciel malveillant destructeur "wiper" appelé AcidRain contre les modems et les routeurs de Viasat, effaçant rapidement toutes les données du système. Les machines ont ensuite redémarré et ont été définitivement désactivées. Des milliers de terminaux ont été effectivement détruits de cette manière.

Guerrero-Saade, qui a été à l'avant-garde de la recherche sur AcidRain, explique que si les précédents logiciels malveillants utilisés par les Russes étaient étroitement ciblés, AcidRaid est davantage une arme polyvalente.

"Ce qui est très inquiétant avec AcidRaid, c'est qu'ils ont supprimé tous les contrôles de sécurité", dit-il. "Avec les précédents wipers, les Russes prenaient soin de ne les exécuter que sur des appareils spécifiques. Maintenant, ces contrôles de sécurité ont disparu, et ils font du brute-forcing. Ils ont une capacité qu'ils peuvent réutiliser. La question est de savoir quelle sera la prochaine attaque de la chaîne d'approvisionnement."

L'attaque s'est avérée typique de la stratégie de guerre "hybride" employée par Moscou, disent les experts. Elle a été lancée de concert avec l'invasion au sol. Ce type exact de coordination entre les cyberopérations russes et les forces militaires a été observé au moins six fois, selon une recherche de Microsoft, soulignant le rôle émergent du cyber dans la guerre moderne.

La cyberattaque coordonnée et destructrice de la Russie avant l'invasion de l'Ukraine montre que les cyberattaques sont utilisées activement et stratégiquement dans la guerre moderne, même si la menace et les conséquences d'une cyberattaque ne sont pas toujours visibles pour le public", a déclaré le ministre danois de la défense, Morten Bødskov, dans un communiqué. "La cybermenace est constante et évolue. Les cyberattaques peuvent causer de gros dégâts à nos infrastructures critiques, avec des conséquences fatales."

En l'occurrence, les dommages ont débordé de l'Ukraine pour toucher des milliers d'internautes et des parcs éoliens connectés à Internet en Europe centrale. Et les implications sont encore plus grandes que cela : Viasat travaille avec l'armée américaine et ses partenaires dans le monde entier.

"De toute évidence, les Russes ont tout gâché", déclare Guerrero-Saade. "Je ne pense pas qu'ils avaient l'intention de provoquer autant de dégâts et d'impliquer l'Union européenne. Ils ont donné à l'UE un prétexte pour réagir en faisant en sorte que 5 800 éoliennes allemandes et d'autres dans l'UE soient touchées."

Quelques heures avant que AcidRain ne commence son travail destructeur contre Viasat, les pirates russes ont utilisé un autre wiper, appelé HermeticWiper, contre les ordinateurs du gouvernement ukrainien. Le mode opératoire était étrangement similaire, sauf qu'au lieu des communications par satellite, les cibles étaient des machines Windows sur des réseaux qui, dans les premières heures de l'invasion, étaient importants pour que le gouvernement de Kiev puisse organiser une résistance efficace.

L'efficacité de ces attaques reste une question ouverte. Un haut responsable ukrainien a déclaré que le piratage de Viasat avait entraîné "une énorme perte de communications au tout début de la guerre", mais n'a fourni aucun détail.

Le cyberespace soutient les opérations militaires, mais il faudra attendre longtemps avant d'avoir une vue d'ensemble de toutes les opérations en cours pendant cette guerre. La façon dont AcidRain a été construit montre clairement que nous le reverrons probablement en action.


By  Patrick Howell O'Neill  May 10, 2022

Source : https://www.technologyreview.com/2022/05/10/1051973/russia-hack-viasat-satellite-ukraine-invasion/?truid=a3e04ec26126eeb2c4f15b3170b0d936&utm_source=the_download&utm_medium=email&utm_campaign=the_download.unpaid.engagement&utm_term=Expire%20Suspends&utm_c