Le logiciel malveillant a été révélé lorsque les troupes russes se sont massées à la frontière ukrainienne et après que les agences gouvernementales ukrainiennes ont supprimé leurs sites Web.

WASHINGTON – Microsoft a averti samedi soir qu’il avait détecté une forme hautement destructrice de malware dans des dizaines de réseaux informatiques gouvernementaux et privés en Ukraine qui semblaient attendre d’être activés par un acteur inconnu.

Dans un article de blog, la société a déclaré jeudi – à peu près au même moment où les agences gouvernementales ukrainiennes ont découvert que leurs sites Web avaient été dégradés – que les enquêteurs supervisant les réseaux mondiaux de Microsoft avaient détecté le code. . « Ces systèmes couvrent plusieurs organisations gouvernementales, à but non lucratif et de technologie de l’information, toutes basées en Ukraine », a déclaré Microsoft.

Dimanche, le conseiller à la sécurité nationale du président Biden, Jake Sullivan, a déclaré que le gouvernement examinait pour la première fois le code signalé par Microsoft. « Nous avons averti pendant des semaines et des mois, à la fois publiquement et en privé, que les cyberattaques pourraient faire partie d’un vaste effort russe pour intensifier l’escalade en Ukraine », a déclaré Sullivan dans Face the Nation de CBS, soulignant la longue histoire de la Russie. l’utilisation d’armes cybernétiques contre le réseau électrique ukrainien, les ministères et les sociétés commerciales.

Mais il a averti que « nous n’avons pas encore spécifiquement attribué cette attaque », et que Microsoft et d’autres sociétés ne l’ont pas fait non plus. « Mais nous travaillons dur sur l’attribution », a-t-il déclaré, ajoutant que « cela ne me surprendrait pas du tout si cela finissait par être attribué à la Russie ».

Le code semble avoir été mis en œuvre à peu près au moment où les diplomates russes, après trois jours de réunions avec les États-Unis et l’OTAN sur le rassemblement de troupes russes à la frontière ukrainienne, ont déclaré que les pourparlers étaient essentiellement dans une impasse.

Les responsables ukrainiens ont initialement accusé un groupe en Biélorussie d’avoir dégradé les sites Web de leur gouvernement, bien qu’ils aient déclaré soupçonner une implication russe. Le ministère du Développement numérique a déclaré dimanche dans un communiqué qu’un certain nombre d’agences gouvernementales ont été affectées par des logiciels malveillants destructeurs, vraisemblablement le même code signalé par Microsoft.

« Toutes les preuves indiquent que la Russie est derrière la cyberattaque », indique le communiqué. « Moscou continue de mener une guerre hybride et renforce activement ses forces dans l’information et le cyberespace. »

Mais le ministère n’a fourni aucune preuve et l’attribution précoce des attaques est souvent erronée ou incomplète.

Microsoft a déclaré qu’il ne pouvait pas encore identifier le groupe à l’origine de l’intrusion, mais qu’il ne semblait pas être un attaquant que ses enquêteurs avaient déjà vu.

Le code, tel que décrit par les enquêteurs de l’entreprise, est destiné à ressembler à un rançongiciel : il bloque toutes les fonctions et données sur l’ordinateur et exige un paiement en retour. Mais il n’y a pas d’infrastructure pour accepter de l’argent, ce qui amène les enquêteurs à conclure que le but est d’infliger un maximum de dégâts, pas de récolter de l’argent.

Les logiciels destructeurs ne se sont peut-être pas répandus trop largement, et la divulgation de Microsoft rendra plus difficile la métastase de l’attaque. Mais il est également possible que les attaquants lancent maintenant le logiciel malveillant et tentent de détruire autant d’ordinateurs et de réseaux que possible.

« Nous avons publié ceci pour donner au gouvernement, aux organisations et aux entités ukrainiennes la possibilité de trouver le logiciel malveillant et de le réparer », a déclaré Tom Burt, vice-président de la sécurité et de la confiance des clients de Microsoft, qui dirige les efforts de l’entreprise pour détecter et prévenir les attaques. . Dans ce cas, a-t-il dit, les enquêteurs de l’unité de cybercriminalité de l’entreprise ont vu des actions inhabituelles dans les réseaux qu’elle surveille habituellement.

Des avertissements comme ceux de Microsoft peuvent aider à arrêter une attaque avant qu’elle ne se produise si les utilisateurs d’ordinateurs tentent d’éliminer le logiciel malveillant avant qu’il ne soit activé. Mais cela peut aussi être risqué. L’exposition change le calcul pour l’auteur, qui, une fois découvert, n’a peut-être rien à perdre en lançant l’attaque, pour voir quelles destructions elle provoque.

Jusqu’à présent, rien ne prouve que le logiciel malveillant destructeur ait été déclenché par les pirates qui l’ont inséré dans les systèmes ukrainiens. Mais Sullivan, pressé que les États-Unis commenceraient à invoquer des sanctions financières et technologiques si les attaques de la Russie se limitaient au cyberespace plutôt qu’à une invasion physique, a déclaré qu’il était important d’obtenir d’abord une découverte définitive sur la source de l’attaque. .

« S’il s’avère que la Russie frappe l’Ukraine avec des cyberattaques », a-t-il déclaré, « et si cela continue dans la période à venir, nous travaillerons avec nos alliés sur la réponse appropriée ».

Comprendre les tensions croissantes autour de l’Ukraine

Comprendre les tensions croissantes autour de l'Ukraine
© reuters.com

Avertissements menaçants. A voir aussi : Comment telecharger sur Liberty VF. La Russie a qualifié la frappe d’acte déstabilisant qui viole l’accord de cessez-le-feu, faisant craindre une nouvelle intervention en Ukraine qui pourrait entraîner les États-Unis et l’Europe dans une nouvelle phase du conflit.

L’emplacement du Kremlin. Le président russe Vladimir V. Poutine, qui a de plus en plus décrit l’expansion de l’OTAN vers l’est comme une menace existentielle pour son pays, a déclaré que le renforcement militaire de Moscou était une réponse à l’approfondissement du partenariat de l’Ukraine avec l’alliance.

Sullivan a déclaré que les États-Unis s’étaient associés à l’Ukraine pour renforcer leurs systèmes et réseaux américains si la vague de rançongiciels et d’autres attaques de la Russie s’accélérait aux États-Unis.

Pour le président russe Vladimir V. Poutine, l’Ukraine a souvent été un terrain d’essai pour les cyberarmes.

Une attaque contre la Commission électorale centrale ukrainienne lors de l’élection présidentielle de 2014, au cours de laquelle la Russie a tenté en vain de changer le résultat, s’est avérée être un modèle pour les agences de renseignement russes ; les États-Unis ont découvert plus tard qu’ils avaient infiltré les serveurs du Comité national démocrate aux États-Unis. En 2015, la première de deux attaques majeures contre le réseau électrique ukrainien a éteint les lumières pendant des heures dans diverses régions du pays, dont Kiev, la capitale.

Et en 2017, les entreprises et les agences gouvernementales ukrainiennes ont été touchées par un logiciel destructeur appelé NotPetya, qui exploitait les failles d’un type de logiciel de préparation des déclarations de revenus largement utilisé dans le pays. L’attaque a mis fin à des secteurs de l’économie et a également touché FedEx et la compagnie maritime Maersk ; Les responsables du renseignement américain l’ont ensuite retracé à des acteurs russes. Ce logiciel, du moins dans sa conception globale, ressemble quelque peu à ce que Microsoft a mis en garde samedi.

La nouvelle attaque effacerait les disques durs et détruirait les fichiers. Certains experts de la défense ont déclaré qu’une telle attaque pourrait être le prélude à une invasion terrestre par la Russie. D’autres pensent que cela pourrait remplacer une invasion si les attaquants pensaient qu’une cyberattaque n’exigerait pas le type de sanctions financières et technologiques que Biden a promis d’imposer en réponse.

John Hultquist, l’un des principaux analystes de cyberintelligence de Mandiant, a déclaré dimanche que sa société avait dit à ses clients de « se préparer à des attaques destructrices, y compris des attaques conçues pour ressembler à des ransomwares ».

Il a noté que l’unité de piratage russe connue sous le nom de Sandworm, qui est depuis étroitement liée à l’agence de renseignement militaire russe, le GRU, a passé ces dernières années à développer « des moyens plus sophistiqués d’attaquer les infrastructures critiques », également au pouvoir ukrainien. la grille.

« Ils ont également perfectionné la fausse attaque de ransomware », a déclaré M. Hultquist, faisant référence à des attaques qui devraient initialement apparaître comme un effort d’extorsion criminelle, mais qui sont en fait destinées à détruire des données ou à paralyser un service public d’électricité, un système d’approvisionnement en eau ou en gaz ou un ministère du gouvernement. « Ils faisaient ça avant NotPetya et l’ont essayé plusieurs fois après. »

Andrew E. Kramer a contribué aux rapports de Kiev, en Ukraine.

Recherches populaires