Cyberattaque « Fire Sale » frappe l’ensemble de l’industrie dans tout l’État d’Ukraine

Salut ! Vous ne me connaissez peut-être pas, mais pour être bref, disons simplement que je mène des enquêtes de cybersécurité, des investigations et je suis sensibilisé à la sécurité depuis plus de 25 ans. Il y a quelques semaines, j’ai été appelé pour effectuer une analyse légale numérique pour un client (ils avaient parlé de certains mystères autour d’actions et de réactions étranges du système). Après une analyse approfondie avec les deux équipes, ils ont vu des infections qui semblaient utiliser l’Active Directory pour se propager très rapidement dans le réseau et nous avons supposé qu’il s’agissait d’une attaque ciblée. Ce que nous ne savions pas, c’est que la phase 1 de ce que nous pensions tous être une fiction ou un script génial du film Die Hard 4.0 en 2007 venait de devenir réel (vous ne pouvez pas inventer ça…). Ils l’ont appelée Vente de feu, une cyberattaque contre un pays entier (bonjour guerre hybride et cyber guerre) cette attaque a finalement conduit à un effondrement de tous les contrôles informatiques, entraînant un krach économique et d’autres mauvaises conséquences (comme anéantir toute une industrie…). À quel point est-il réel de mener une telle attaque ? Eh bien, l’un des leaders de l’industrie anti-malware, Eugene Kaspersky a peut-être prédit l’avenir il y a environ 1,5 an. Mais revenons aux faits un instant : c’était un dimanche normal quand l’un des analystes de sécurité de l’industrie des médias m’a mis sur une conférence téléphonique avec une autre entreprise dont je fais partie du conseil. Non pas que cela m’ait surpris de voir qu’ils travaillent en plein dimanche (comme moi, donc ne demandez pas), c’était plutôt les faits qui étaient vraiment intéressants et effrayants : toute l’industrie des médias et les chaînes de télévision rapportaient simultanément être sous une cyberattaque inconnue qui perturbait les opérations informatiques et agissait de manière très imprévisible. L’attaque a commencé le dimanche 25 octobre^th, juste alors que des élections à l’échelle nationale avaient lieu en Ukraine (coïncidence ?). Bien que plusieurs groupes de hacktivistes aient essayé de revendiquer l’attaque, il n’y a pas suffisamment de preuves (conclusives) pour l’attribuer à un groupe spécifique – nous laisserons cela aux « services spéciaux » et aux politiciens pour le découvrir.

Comme je l’ai mentionné, l’attaque était une infection discrète en plusieurs étapes de l’infrastructure d’une entreprise ciblant un objectif après l’autre, provoquant le redémarrage des ordinateurs et leur impossibilité à démarrer. À ce stade, deux choses semblaient évidentes : nous avions affaire à une attaque cyber-ciblée, peut-être avec des motivations politiques et visant à perturber une industrie entière. Cependant, l’enquête a révélé une pléthore de détails qui remettent en question la déclaration initiale…

Symptômes de l’attaque et première impression

Pendant que nous attendons quelques vérifications des résultats officiels avec des agences à trois lettres avec lesquelles nous travaillons, ainsi que des ingénieurs d’analyse légale & de rétro-ingénierie de la sécurité dédiés, et qu’une divulgation complète sera faite par un CERT local, je vais partager comment les choses étaient du front.

Les cibles étaient plusieurs plateformes Microsoft Windows, sans dépendances de version ou de fonction, y compris des contrôleurs de domaine Active Directory, des postes de travail, des stations de montage vidéo, des ordinateurs de comptabilité, etc.

Le comportement observable typique des actifs infectés était un Arrêt Inattendu du Système d’Exploitation après lequel le système devenait impossible à démarrer : le MBR manquait (je me demande pourquoi…). Un deuxième symptôme était le remplissage à 100 % de la partition système, ce qui, comme nous le savons, fait que le système se comporte anormalement et selon la recommandation de Microsoft « Demande de contacter un administrateur système ». Du point de vue de l’équipe de sécurité interne, cela ressemblait à des machines Windows aléatoires qui plantent complètement sans raisons évidentes ou relations apparentes. Un troisième symptôme tout aussi important était que tous les collègues de la même industrie s’appelaient et rapportaient ces mêmes 2 premiers symptômes…

Quelques éléments étaient clairs pour moi à ce stade :

• Il s’agissait d’une attaque ciblée, soigneusement planifiée et orchestrée bien avant la date à laquelle elle a été réellement mise en mouvement.
• Ce n’est pas une exploitation de vulnérabilité zero-day. L’attaque est multi-étapes impliquant soit l’ingénierie sociale et des initiés, soit un système modulaire et synchronisé de couches multiple de militarisation, livraison et de commande et contrôle, bonjour au modèle de la Cyber Kill Chain 😉
• Le timing de l’attaque n’est pas aléatoire : elle s’est produite exactement le jour des élections locales avec pour objectif soit de perturber la couverture médiatique des élections (ce qui n’est jamais arrivé) ou la date a été utilisée comme un leurre pour détourner l’attention de l’objectif principal de l’attaque. Cela pourrait également être une sacrée démonstration des capacités d’une nouvelle arme cybernétique à l’échelle du pays.

J’ai recommandé à mes collègues de se préparer, de mettre de côté tout doute et de se concentrer sur 2 choses : la réduction des dommages collatéraux et la collecte de preuves maximale. Nous avons essayé de recueillir tout ce que nous pouvions : PCAP’s, captures d’écran, journaux Windows, alertes SIEM & IPS, dump mémoire et bien sûr échantillon de malware. Évidemment, les systèmes de défense actifs et antivirus traditionnels étaient silencieux. Au cours des premières 24 heures de l’attaque, nous avons pu obtenir un virus appelé “ololo.exe” et l’avons téléchargé sur VirusTotal, juste pour découvrir qu’aucun antivirus n’était au courant de ce malware. À suivre avec les résultats de l’analyse inverse du malware et les résultats de l’enquête initiale…

Résultats de l’enquête initiale et analyse inverse du malware de Vente de Feu Ukraine >>