Au moins 15 sites Web appartenant à diverses institutions publiques ukrainiennes ont été compromis, défigurés, puis mis hors ligne.
Cela comprend les sites Web du ministère des Affaires étrangères, de l’Agriculture, de l’Éducation et des Sciences, de la Sécurité et de la Défense, ainsi que le portail en ligne du cabinet des ministres.
Les messages de dégradation ont été publiés en ukrainien, russe et polonais, avertissant les visiteurs des sites que toutes les données des citoyens téléchargées sur le réseau public avaient été compromises.
Au moment d’écrire ces lignes, certains sites Web restent inaccessibles car les informaticiens du pays sont toujours en train de les restaurer.
À la suite d’une cyberattaque massive, les sites Web du ministère des Affaires étrangères et d’un certain nombre d’autres agences gouvernementales sont temporairement indisponibles. Nos spécialistes ont déjà commencé à restaurer le fonctionnement des systèmes informatiques, et la cyberpolice a ouvert une enquête.
– Oleg Nikolenko (@OlegNikolenko_) 14 janvier 2022
La cyber-police ukrainienne a également publié une annonce dans laquelle elle souligne qu’aucune donnée personnelle n’a été compromise en raison de ces attaques et que les messages d’avertissement aux visiteurs étaient faux et ne visaient qu’à effrayer les citoyens.
« Afin d’éviter la propagation de l’attaque sur d’autres ressources et la localisation du problème technique, les travaux d’autres sites gouvernementaux ont été temporairement suspendus », explique le annonce de la police (traduit).
« Actuellement, le département de la cyberpolice, en collaboration avec le service spécial des communications de l’État et le service de sécurité de l’Ukraine, collectent des preuves numériques et identifient les personnes impliquées dans les cyberattaques. »
Des sources ont dit au journaliste Kim Zetter que les 15 sites ukrainiens compromis utilisaient une version obsolète du CMS d’octobre, vulnérable aux CVE-2021-32648.
Il s’agit d’une faille d’authentification critique (CVSS : 9.1) permettant à un attaquant d’envoyer une requête spécialement conçue pour effectuer une réinitialisation de mot de passe sur la plateforme, prenant ainsi le contrôle des comptes admin.
Cette vulnérabilité a été corrigée avec construire 472 version 1.1.5, publié en août 2021, mais il semble que plusieurs sites Web du gouvernement ukrainien n’aient pas appliqué les mises à jour de sécurité.
UNE avis ultérieur de la cyber-police ukrainienne a confirmé le signalement par Zetter de la vulnérabilité CMS d’octobre comme vecteur d’intrusion.
La Pologne aussi impactée ?
Aujourd’hui, après que l’Ukraine eut reconnu ses attaques, le ministère polonais de la Défense nationale a également annoncé que certaines de ses bases de données contenant des informations militaires sensibles étaient compromises.
Le ministère souligne qu’il n’est pas sûr que la base de données consultée contienne des fichiers de test ou des données réelles, et les enquêtes sont toujours en cours.
Cependant, des membres de la presse locale parlent avec certitude de la validité des fichiers divulgués et du lien avec l’incident de cybersécurité ukrainien.
Il n’y a pas que les serveurs ukrainiens qui ont été piratés. Dans #Pologne 1,8 million de points de données d’équipements militaires, unités ont été mis en ligne. C’est l’état des F-16 polonais ou l’emplacement des soldats isolés. Rapporté par @OnetWiadomosci. C’est grand. Exige maintenant que le ministre de la Défense démissionne.
— Philipp Fritz (@phil_ipp_fritz) 14 janvier 2022
Acteurs inconnus
La cyber-police a ouvert une procédure pénale au titre de l’article 361 (interférences non autorisées avec les ordinateurs et les réseaux informatiques), mais les acteurs restent inconnus.
Les Polonais ont remarqué des erreurs grammaticales évidentes dans les messages publiés sur les pages dégradées et ont affirmé qu’il s’agissait du produit de la traduction de Yandex. En tant que tel, l’acteur pourrait être russe.
Même si l’Ukraine traverse tensions extrêmes avec la Russie, les actes de dégradation de sites Web ne sont pas la méthode d’attaque typique d’un groupe de piratage parrainé par l’État russe comme le GRU.
Pourtant, les chercheurs théorisent que les attaques auraient pu être menées par le groupe de piratage GhostWriter APT, qui a l’habitude de cibler des entités gouvernementales en Pologne et en Ukraine.
En novembre, Mandiant a publié un rapport liant le groupe Ghostwriter au gouvernement biélorusse.
« UNC1151 a ciblé une grande variété d’entités gouvernementales et du secteur privé, en particulier en Ukraine, en Lituanie, en Lettonie, en Pologne et en Allemagne », explique un rapport de Mandiant.
Le ciblage comprend également des dissidents biélorusses, des entités médiatiques et des journalistes. Bien qu’il existe de nombreux services de renseignement qui s’intéressent à ces pays, la portée du ciblage spécifique est la plus conforme aux intérêts biélorusses. »
De plus, hier, la cyberpolice ukrainienne a annoncé l’arrestation de cinq filiales de ransomwares responsables de plus de 50 attaques contre des entreprises dans le monde.
Les chances que cette vague de dégradations soit un acte de représailles sont minces, car les messages ne mentionnent rien de pertinent.