L’équipe nationale roumaine de cybersécurité et de réponse aux incidents, DNSC, a publié une déclaration concernant une série d’attaques par déni de service distribué (DDoS) ciblant plusieurs sites Web publics gérés par des entités étatiques.
L’attaque a été revendiquée par un groupe pro-russe se faisant appeler Killnet. Ils ont ciblé des serveurs qui hébergent des sites publics avec un nombre élevé de requêtes ou de gros volumes de données, épuisant essentiellement leurs ressources de traitement et les rendant indisponibles.
Tous les sites Web fonctionnent actuellement. Selon l’annonce DNSCles attaquants ont ciblé les sites Web suivants :
- gov.ro (site officiel du gouvernement roumain)
- mapn.ro (site officiel du ministère roumain de la Défense)
- politiadefrontiera.ro (officiel de la police des frontières roumaine)
- cfrcalatori.ro (site officiel de la Société nationale des transports ferroviaires de Roumanie)
- otpbank.ro (site d’une banque commerciale opérant en roumain)
La DNSC collabore désormais avec d’autres autorités du pays pour cartographier ces attaques et atténuer leurs effets. L’agence a annoncé qu’elle publierait les adresses IP impliquées dans l’attaque.
Selon le principal service de renseignement en Roumanie, SRI, l’attaque DDoS a commencé à 04h00 heure locale et provenait d’un équipement réseau compromis à l’extérieur du pays qui avait été compromis en exploitant des vulnérabilités de sécurité. Vers 11 heures, les sites Web ont recommencé à fonctionner.
EZpublish-france.fr a appris du DNSC que l’attaque visait des applications Web (OSI niveau 7). Ce n’était pas particulièrement fort, mais il a probablement atteint des limites d’étranglement sur les cibles, rendant les sites Web indisponibles.
Les administrateurs des sites concernés sont invités à suivre les directives fournies ici et utilisez ces indicateurs de compromis pour filtrer les requêtes malveillantes.
Killnet prend ses responsabilités
Le groupe qui a revendiqué ces attaques s’appelle « Killnet », et est essentiellement un collectif hacktiviste pro-russe.
Killnet a expliqué dans un post sur un service de messagerie que les attaques sont en réponse à une récente déclaration faite par le président du Sénat roumain (chambre haute du Parlement), Marcel Ciolacu [sic. Ciolacu is the president of the Chamber of Deputies, the lower house of Romania’s Parliament]qui a promis d’aider au maximum l’Ukraine, y compris les armes
Le même groupe a précédemment lancé des attaques DDoS contre des sites américains, tchèques, estoniens, allemands et polonais, tous pour des raisons politiques similaires, demandant l’arrêt de la fourniture d’armes et d’équipements militaires à l’Ukraine.
L’Ukraine également ciblée
Pas plus tard qu’hier, l’équipe ukrainienne d’intervention d’urgence informatique a mis en garde contre un problème DDoS culminant qui utilise les ressources informatiques des visiteurs du site Web pour submerger les cibles du site ukrainien.
Ces attaques se poursuivent depuis au moins fin mars 2022, exploitant une mauvaise sécurité sur les sites WordPress pour implanter un JavaScipt malveillant qui génère des requêtes pour attaquer des cibles spécifiques.