Actu
Conflit cyber russo-ukrainien : Les pirates recrutent des novices pour étendre l’impact des cyberattaques
mars 2022 par Nitzan Yaakov, analyste Data security chez Aqua SecuritySecurity
Le conflit entre la Russie et l’Ukraine fait également rage dans le cyber espace, où différentes parties prenantes– gouvernement, groupes hacktivistes et individus isolés – tentent d’y apporter leur contribution. Les acteurs de la menace développent et disséminent des outils de piratage automatisés et simples à utiliser pour fédérer des personnes moins qualifiées dans leurs efforts de cyberguerre.
Début de la cyberguerre : attaques de malwares d’effacement de données
La campagne militaire a été précédée par une cyberattaque sophistiquée lancée par la Russie contre plusieurs organisations ukrainiennes comprenant des logiciels malveillants très destructeurs, IsaacWiper et HermeticWizard, variantes de malware de type wiper.
Installé sur des centaines de machines en Ukraine, le malware a été suivi par une vague d’attaques par déni de service distribué (DDoS). Ces nouvelles catégories du malware wiper ont la capacité de corrompre les données d’une machine pour les rendre inaccessibles. En plus de leur capacité à se propager rapidement sur un réseau local, ils peuvent également lancer une attaque de ransomware et chiffrer les fichiers sur la machine compromise.
Selon nos observations, cette nouvelle attaque wiper ne visait que les systèmes Windows. La plupart des environnements cloud natifs (96%) étant basés sur Linux, le risque pour eux était donc très faible. Cependant, le cyber arsenal de la Russie pourrait inclure des outils similaires conçus pour cibler les environnements Linux.
Intervention des hacktivistes
Le conflit russo-ukrainien a attiré l’attention des acteurs de la menace mondiaux comme le groupe hacktiviste Anonymous qui lance régulièrement des cyberattaques pour servir ses idéaux politiques. Anonymous a déclaré la cyberguerre à la Russie et appelé les pirates informatiques du monde entier à cibler les organisations et les gouvernements russes.
Technologies cloud natives utilisées dans les cyber attaques
Pour analyser ces attaques, l’équipe de sécurité Nautilus d’Aqua a recueilli des données issues de référentiels publics contenant du code et des outils destinés à cibler soit la Russie soit l’Ukraine. Parmi ces référentiels, nous avons analysé les images de conteneurs dans Docker Hub ainsi que les bibliothèques de code et packages logiciels populaires, comme PyPI, NPM et Ruby. Nous y avons recherché des noms spécifiques et des étiquettes de texte appelant à une action active contre l’une des deux parties.
En étudiant les typologies d’activités sur ces sources publiques nous avons constaté qu’environ 40% des paquets observés étaient liés à des activités de déni de service visant à perturber le trafic réseau et les services online.
Analyse des images de conteneur sur Docker Hub
Nous avons ensuite analysé les images de conteneur « abagayev/stop-russia:latest » et « erikmnkl/stoppropaganda:latest » téléchargées depuis Docker Hub.
Ces images publiaient des instructions et du code source sur GitHub, y compris une liste de cibles avec des adresses de sites Web russes. Entre autres choses, les directives, à destination des non-avertis, expliquaient comment lancer une attaque et quels outils télécharger.
Les référentiels ont ainsi joué un rôle majeur dans le conflit virtuel, rendant les outils cloud natifs largement disponibles pour un public moins technique ce qui démontre encore une fois qu’il n’est pas nécessaire d’être un hacker qualifié pour participer à la cyberguerre.
Les images de conteneurs ont été numérisées avec le scanner Dynamic Threat Analysis (DTA) d’Aqua qui a exécuté les images de conteneur dans un bac à sable sécurisé, pour obtenir plus d’informations sur ces outils ainsi que leur impact.
_ ? L’image de conteneur « abagayev/stop-russia:latest » intégrait un outil DoS ciblant les données financières et les fournisseurs de services en Russie.
_ ? L’image de conteneur « erikmnkl/stoppropaganda:latest » contenait un outil DDoS sur le protocole TCP via différentes requêtes de connexion. Utilisé pour lancer l’attaque, il a pour cible plusieurs fournisseurs de services en Russie.
_ ? Les deux images de conteneur intègrent des outils d’attaque pour lancer le flux DNS sur le protocole UDP, envoyant un grand nombre de requêtes sur le port 53 afin de cibler les banques russes.
Attaques dans le cyber espace
Dans le cadre de nos recherches, nous déployons régulièrement des honeypots, c’est-à-dire des applications cloud natives leurres mal configurées sur Docker et Kubernetes ou d’autres applications comme les bases de données pour attirer des adversaires potentiels afin de les identifier et éventuellement de les neutraliser. Nous avons analysé les données enregistrées par nos honeypots en retenant uniquement les attaques DDoS dans le cyber espace ainsi que les adresses IP appartenant à la Russie et à l’Ukraine.
Sur la base de ces données, 84% des cibles étaient affiliées à des adresses IP en Russie et seulement 16% en Ukraine. Une segmentation sectorielle supplémentaire des métadonnées liée à ces adresses IP montre que les réseaux et les médias (communication) étaient les cibles principales faisant l’objet du plus grand nombre d’attaques.
Conclusion
Nos résultats soulignent le rôle important du cyber domaine dans un conflit géopolitique moderne. Au fur et à mesure des progrès technologiques, les acteurs de la menace créent et distribuent des outils simples et automatisés permettant à des hackers moins qualifiés de se joindre à la cyberguerre. Il permet également aux individus et aux groupes criminels organisés d’influencer le conflit, en utilisant leurs connaissances et leurs ressources : les technologies émergentes servent ces efforts et peuvent aider à renforcer leur impact.
