Cyber guerre entre pirates Russes et Ukrainiens… encore !

Alors que les tensions à la frontière russo-ukrainienne s’affichent dans tous les médias, les pirates informatiques des deux pays se font un malin plaisir à perturber l’informatique des adversaires. Entre piratage politique et business malveillant !

La guerre entre l’Ukraine et la Russie n’a jamais vraiment cessé sur le réseau des réseaux. Depuis des mois, pirates Russes et Ukrainiens s’échangent des petits noms d’oiseaux à grands coups de piratages et autres vols de données (exemples ici et ).

Parmi un exemple très concret, qui date d’il y a quelques semaines, et qui n’a pas fait la UNE de la presse, le piratage et le vol des données du « Center for Cybersecurity of Ukraine » au mois d’août 2021. 70 Go de données internes seront volées et diffusées.

Message diffusé par un pirate à l’encontre « Center for Cybersecurity of Ukraine – Capture zataz.com

Depuis, c’est à celui qui mettra le plus le « bordel » ! Des pirates nationalistes qui, dans les deux camps se tapent dessus pour afficher celui qui a la plus grosse. Sauf que l’ambiance politique entre les deux pays fait écho à ces piratages et transforment des « bastons » d’adolescents pirates en cyber attaques étatiques. Les récentes cyber attaques n’aideront pas à la compréhension à savoir si nous avons à faire à une attaque numérique étatique, de nationalistes locaux ou tout simplement, des pirates vendeurs/acheteurs de données ?

Début janvier, l’Américain Microsoft affirmait que des cyber attaques massives avaient visé l’Ukraine « Nous avons trouvé ce logiciel malveillant sur des dizaines de systèmes appartenant au gouvernement mais aussi à des ONG et à des organisations d’informations technologiques, toutes basées en Ukraine. A ce stade, nous ne pouvons dire quel est le cycle opérationnel de cette attaque, ni combien d’autres organisations peuvent en être victimes ». Le géant US ne montrait pas directement du doigt la Russie.

Une cyber attaque signée par les « totos » du web ?

Dans la nuit du 14 janvier 2022, une vingtaine de sites web seront touchés. Un faux ransomware, baptisé Ukrainian Stage Ransomware/WhisperGate Ransomware s’est affiché dans certains écrans, histoire de « troller » encore plus les victimes. Au moment ou les autorités Ukrainiennes arrêtaient de nombreux pirates amateurs de chantages numériques (lire ici, ), le « clin d’œil » est étonnant. Ce n’est pas la première fois que le pays, et ses partenaires, parlent de faux ransomware visant le pays. La même communication avait été réalisée à l’époque du code malveillant Petya.

WhisperGate Ransomware s’affichait en trois langues

Seulement, alors que le gouvernement Ukrainien indiquait ne pas avoir perdu de données, ZATAZ peut révéler qu’il y a eu de la fuite, beaucoup de fuites ! Certaines, comme les Services gouvernementaux en ligne (permis, etc.) Parmi la dizaine d’exemples rencontrées par ZATAZ, un copie de la ressource étatique diia.gov.ua contenant les données personnelles de 2,6 millions de citoyens ukrainiens, ainsi que le code source du site web lui-même (ci-dessous).

Diffusion de bases de données volées
à des Services gouvernementaux ukrainiens. Capture écran : zataz.com

Une cyber attaque qu’il fallait redouter ? Chose est certaine, comme le confirme Kim Zetter, auteur de Countdown to Zero day (sur le ver Stuxnet), la quinzaine de sites d’État malmenés utilisaient tous « October CMS« .

Une faille, connue depuis des mois, mettait à mal cet outil de gestion de site web. Et devinez quoi ?! Les pirates l’ont exploité (CVE-2021-32648). Et pour exploiter la faille visant October CMS, pas besoin d’être un génie du mal.

Moi, ce qui m’intrigue le plus maintenant c’est comment les administrateurs de cette quinzaine de sites de ministères ont-ils pu permettre une telle gaffe, et ne rien faire depuis la connaissance de la faille, en mai 2021.

Bref, une fois le mal fait, il est plus facile de crier au loup, surtout en cette période politiquement « chaude » entre les deux pays.

Après, l’Art de la Guerre est aussi de faire bouger la population du pays convoité. Et quoi de mieux pour des pirates pro-russes que d’infliger un tel revers au gouvernement Ukrainien. C’est tout aussi efficace que de crier « Regardez comment ils sont incapables de protéger leurs sites et vos données !« .

Des données vendues !

En attendant, des données ont été volées, certaines ont été vendues comme je vous le montre en capture écran ci-dessous. Dernier détail, mais qui n’est qu’une supputation, et si ces attaques n’étaient rien d’autre qu’une « punition » des mafias locales.

Photo de la police Ukrainienne à l’encontre de vendeurs de solutions pirates.

Ces dernières se sont retrouvées amputées de nombreux groupes de ransomwares, et des millions qui vont avec, à la suite des nombreuses arrestations orchestrées par la police ukrainienne ? Lire l’article « Ransomware nouvelle arrestation chez les pirates  » ou encore ce communiqué de la police Ukrainienne et l’arrestation de pirates qui fournissaient des outils pour lancer des cyber attaques. Il aurait gagné, en quelques semaine, 1 million de dollars (photo ci-dessus).

Le site de gestion des permis de conduire et ses 431GB de données volées… et à vendre ! – Capture écran : zataz.com

A noter de nombreuses ventes d’informations provenant de ce pays repéré par le Service Veille ZATAZ, comme par exemple, les identifiants de connexion des employés de la société DTEK. Il s’agit du plus grand investisseur privé dans le secteur de l’énergie en Ukraine.

La vente des accès de la société Ukrainienne DTEK – Capture écran : zataz.com

Opération Peklo

Pendant ce temps, les pirates antirusses s’en donnent, eux aussi, à cœur joie. Des hacktivistes ont pris en otage les transports ferroviaires Biélorusses, en s’attaquant à BelZhD, Belarusian Railway. Les hacktivistes se sont attaqués aux machines du transporteur, effacés les fichiers, volés des contenus « BelZhD est au commandement du terroriste Loukachenko, expliquent les pirates, qui permet aux troupes d’occupation d’entrer sur nos terres.« 

Les hacktivistes ont revendiqué leurs actions en fournissant de nombreuses preuves des machines piégées ! Capture écran : zataz.com

Dans le cadre de la cyber campagne baptisée « Peklo », les pirates ont chiffré l’essentiel des serveurs, des bases de données et postes de travail du BelZhD « afin de ralentir et perturber le fonctionnement de l’entreprise » soulignent les pirates.

Les sauvegardes ont été détruites. Des dizaines de bases de données ont été ponctionnées. « Les systèmes d’automatisation et de sécurité n’ont délibérément PAS été affectés par la cyberattaque afin d’éviter les situations d’urgence. » affichent les cyber manifestants.

Une cyber manifestation qui trouve une réponse dans les revendications de ce groupe de cyber ​​guérillas : « Nous avons des clés de cryptage, et nous sommes prêts, sous certaines conditions, à remettre les systèmes BelZhD en mode normal. Nos conditions sont la libération de 50 prisonniers politiques qui ont le plus besoin d’assistance médicale et de stopper la présence des troupes russes sur le territoire de la République de Biélorussie.« 


  • Petites listes d'importantes fuites ayant impacté l'Ukraine ces derniers mois

    Base de données des voitures russes.
    Base de données des voitures de la police de la circulation en Ukraine.
    Vols de données Russes et étrangers (68 millions)

    République populaire de Donetsk et la République populaire de Lougansk. +3,5 millions d'informations.

    Banque privée Ukrainienne : identité, mot de passe, téléphone, adresse, Viber, etc. 40 millions de clients impactés.
    Douanes Ukrainienne.
    Nova poshta. 1 million de données
    Base de données de la Caisse de retraite de l'Ukraine. Avec les photos.
    Passeports, DCI (TIN). 7,5 millions d'identités.

    Passeport et permis de conduire avec photo. 28 millions.
    Vodafone Passeport, adresse. 10 millions de clients.
    BDD non nommée avec 2,1 millions d'identités, dates de naissance, numéros de téléphone mobile, adresses, passeports.

    Lifecell : identité, passeport, adresse.
    Kyivstar : identité, passeport, adresse de 13 millions de clients.


Une frénésie patriotique et économique qui ne se calmera demain. Pour preuve le message que j’ai intercepté dans un espace de discussion de pirates, et que je vous traduis ci-dessous.

trolls, hacktivistes, … – capture écran : zataz.com

« Bonjour tout le monde, XXX est de nouveau là […] À la lumière des récentes attaques menées en Ukraine par des groupes pro-russes, nous allons vous rembourser, surenchérit un autre groupe pirate croisé par ZATAZ. Un grand nombre de documents (dessins, schémas, etc.) d’Almaz-Antey Concern, le principal fabricant russe de systèmes de défense aérienne et antimissile, ont été diffusés.« 

Bref, bon courage pour attribuer les véritable acteurs de ces « merdiers » 2.0 : piratage étatique, pirates patriotiques, hacker mercantiles ou juste des trolls !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ » Plusieurs centaines de failles pour des sites Russes diffusées

  2. Pingback: ZATAZ » Hacktiviste ou pirate : le conflit Russoukrainien 2.0

  3. Pingback: Data Security Breach

  4. Pingback: ZATAZ » CyberАрмия : la cyber armée populaire Russe

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.