Malgré ce volume considérable de logiciels malveillants d’effacement, les cyberattaques de la Russie contre l’Ukraine en 2022 ont, à certains égards, semblé relativement inefficaces par rapport aux années précédentes de son conflit là-bas. La Russie a lancé des campagnes répétées de cyberguerre destructrices contre l’Ukraine depuis la révolution de 2014, toutes apparemment conçues pour affaiblir la détermination de l’Ukraine à se battre, semer le chaos et faire apparaître l’Ukraine à la communauté internationale comme un État en faillite. De 2014 à 2017, par exemple, l’agence de renseignement militaire russe GRU a mené une série de cyberattaques sans précédent : elles ont perturbé puis tenté d’usurper les résultats de l’élection présidentielle ukrainienne de 2014, provoqué les toutes premières coupures de courant déclenchées par des pirates informatiques et enfin déclenché NotPetya, un logiciel malveillant auto-réplicatif qui a frappé l’Ukraine, détruisant des centaines de réseaux dans les agences gouvernementales, les banques, les hôpitaux et les aéroports avant de se propager dans le monde entier pour causer des dommages encore inégalés de 10 milliards de dollars.
Mais depuis le début de 2022, les cyberattaques de la Russie contre l’Ukraine sont passées à une vitesse différente. Au lieu de chefs-d’œuvre de code malveillant dont la création et le déploiement ont nécessité des mois, comme lors des campagnes d’attaques précédentes de la Russie, les cyberattaques du Kremlin se sont accélérées en actes de sabotage rapides, sales, implacables, répétés et relativement simples.
En fait, la Russie semble, dans une certaine mesure, avoir troqué la qualité contre la quantité dans son code d’essuie-glace. La plupart des douze essuie-glaces lancés en Ukraine en 2022 ont été relativement grossiers et simples dans leur destruction de données, sans aucun des mécanismes complexes d’auto-propagation observés dans les anciens outils d’essuie-glace GRU comme NotPetya, BadRabbit ou Olympic Destroyer. Dans certains cas, ils montrent même des signes de travaux de codage précipités. HermeticWiper, l’un des premiers outils d’effacement qui a frappé l’Ukraine juste avant l’invasion de février 2022, a utilisé un certificat numérique volé pour paraître légitime et éviter la détection, signe d’une planification sophistiquée avant l’invasion. Mais HermeticRansom, une variante de la même famille de logiciels malveillants conçue pour apparaître comme un logiciel de rançon pour ses victimes, comportait des erreurs de programmation bâclées, selon ESET. HermeticWizard, un outil d’accompagnement conçu pour diffuser HermeticWiper d’un système à l’autre, était aussi bizarrement à moitié cuit. Il a été conçu pour infecter de nouvelles machines en tentant de s’y connecter avec des informations d’identification codées en dur, mais il n’a essayé que huit noms d’utilisateur et seulement trois mots de passe : 123, Qaz123 et Qwerty123.
La plus percutante de toutes les attaques de logiciels malveillants d’essuie-glace de la Russie contre l’Ukraine en 2022 a peut-être été AcidRain, un morceau de code destructeur de données qui ciblait les modems satellite Viasat. Cette attaque a détruit une partie des communications militaires de l’Ukraine et s’est même propagée aux modems satellites à l’extérieur du pays, perturbant la capacité de surveiller les données de milliers d’éoliennes en Allemagne. Le codage personnalisé nécessaire pour cibler la forme de Linux utilisée sur ces modems suggère, comme le certificat volé utilisé dans HermeticWiper, que les pirates du GRU qui ont lancé AcidRain l’avaient soigneusement préparé avant l’invasion de la Russie.
Mais au fur et à mesure que la guerre progressait – et que la Russie semblait de plus en plus mal préparée au conflit à plus long terme dans lequel elle s’enlisait – ses pirates se sont tournés vers des attaques à plus court terme, peut-être dans le but de suivre le rythme d’une guerre physique avec des changements constants. lignes de front. En mai et juin, le GRU était devenu de plus en plus favorable à l’utilisation répétée de l’outil de destruction de données CaddyWiper, l’un de ses spécimens d’essuie-glace les plus simples. Selon Mandiant, le GRU a déployé CaddyWiper cinq fois au cours de ces deux mois et quatre autres fois en octobre, modifiant son code juste assez pour éviter la détection par les outils antivirus.
Même alors, cependant, l’explosion de nouvelles variantes d’essuie-glace n’a fait que se poursuivre : ESET, par exemple, répertorie Prestige, NikoWiper, Somnia, RansomBoggs, BidSwipe, ZeroWipe et SwiftSlicer comme de nouvelles formes de logiciels malveillants destructeurs – se faisant souvent passer pour des rançongiciels – qui ont est apparu en Ukraine depuis octobre seulement.
Mais ESET ne voit pas ce flot d’essuie-glaces comme une sorte d’évolution intelligente, mais plutôt comme une sorte d’approche par force brute. La Russie semble lancer tous les outils destructeurs possibles contre l’Ukraine dans le but de garder une longueur d’avance sur ses défenseurs et d’infliger tout le chaos supplémentaire qu’elle peut au milieu d’un conflit physique écrasant.
« Vous ne pouvez pas dire que leur sophistication technique augmente ou diminue, mais je dirais qu’ils expérimentent toutes ces différentes approches », déclare Robert Lipovsky, chercheur principal sur les renseignements sur les menaces chez ESET. “Ils sont tous là, et ils essaient de faire des ravages et de causer des perturbations.”
