L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie
En s'appuyant sur des données de la firme ESET entre autres
Le 2017-07-02 08:10:43, par Patrick Ruiz, Chroniqueur Actualités
Une semaine après que le wiper Petya/NotPetya a commencé à sévir, d’abord en Ukraine, puis de par le monde, les firmes de sécurité commencent à publier leurs analyses respectives du phénomène, ce qui lance la chasse aux sorcières dans ce nouveau feuilleton.
Se fondant sur une analyse toute récente de la firme de sécurité ESET entre autres, les services secrets ukrainiens viennent d’accuser la Russie d’avoir planifié et lancé cette nouvelle cyberattaque d’envergure mondiale.
Les analyses de la firme ESET et Kaspersky Lab notamment lient le wiper Petya/NotPetya aux activités d’un groupe de hackers qui opère depuis 2007. Les campagnes malicieuses attribuées à ce groupe ont tour à tour pris des noms comme Sandworm, TeleBots ou Black Energy particulièrement connue pour avoir plongé l’ouest de l’Ukraine dans le noir en décembre 2015.
KillDisk fait également partie de la longue liste de malwares dans l’arsenal de ce groupe. On sait qu’il a été conçu pour provoquer des pannes sur les réseaux électriques ukrainiens en 2015, probablement dans le dessein de saboter des systèmes industriels ou masquer les traces d’une cyberattaque.
Le plus intéressant à son sujet est le parallèle qu’il est possible d’établir avec le wiper Petya/NoPetya déguisé en ransomware. En décembre 2016, la firme de sécurité CyberX a découvert un échantillon de KillDisk déguisé en ransomware, une analyse confirmée par celle de la firme de sécurité ESET en janvier 2017. Le montant exigé par les hackers dans le cadre de ces campagnes indiquait clairement que l’utilisation du malware contre l’Ukraine avait uniquement des desseins destructeurs.
C’est d’ailleurs sur les similarités entre les infrastructures exploitées, les tactiques, les techniques, les procédures et surtout sur le choix de la victime que la firme ESET base sa récente analyse pour établir le lien entre le wiper Petya/NotPetya et les campagnes Sandworm, Black Energy et TeleBots entre autres.
« Il ne s’agit pas d’un incident isolé. Il s’agit de la dernière d’une longue série d’attaques similaires contre l’Ukraine », peut-on lire dans le rapport d’Anton Cherepanov de la firme ESET. Et d’ajouter que « ce groupe continue d’améliorer ses méthodes pour mener des attaques contre l’Ukraine. Avant cette vague d’attaques, le groupe en avait au secteur financier de ce pays. Celle-ci est plutôt dirigée contre des entreprises. Seulement, les hackers auraient sous-estimé les capacités de diffusion du malware. Raison pour laquelle il est devenu incontrôlable ».
Ainsi, pas d’attaque frontale de la firme de sécurité vis-à-vis d’un État. En matière de cybersécurité, les conclusions sont tirées avec la plus grande prudence. Il est simplement question d’un groupe que d’autres acteurs de la scène ont eu à lier à la Russie dans le cadre d’autres campagnes. Du point de vue du Service de sécurité ukrainien cependant, ces développements sont suffisants pour, sans détour, pointer un doigt accusateur sur la Russie.
Igor Mozorov, un membre de la Chambre haute du parlement russe, a qualifié les accusations de l’Ukraine contre la Russie de « fiction » et a ajouté que cette cyberattaque serait plutôt l’œuvre des Américains.
Source : Go, ESET
Et vous ?
Voir aussi :
Se fondant sur une analyse toute récente de la firme de sécurité ESET entre autres, les services secrets ukrainiens viennent d’accuser la Russie d’avoir planifié et lancé cette nouvelle cyberattaque d’envergure mondiale.
Les analyses de la firme ESET et Kaspersky Lab notamment lient le wiper Petya/NotPetya aux activités d’un groupe de hackers qui opère depuis 2007. Les campagnes malicieuses attribuées à ce groupe ont tour à tour pris des noms comme Sandworm, TeleBots ou Black Energy particulièrement connue pour avoir plongé l’ouest de l’Ukraine dans le noir en décembre 2015.
KillDisk fait également partie de la longue liste de malwares dans l’arsenal de ce groupe. On sait qu’il a été conçu pour provoquer des pannes sur les réseaux électriques ukrainiens en 2015, probablement dans le dessein de saboter des systèmes industriels ou masquer les traces d’une cyberattaque.
Le plus intéressant à son sujet est le parallèle qu’il est possible d’établir avec le wiper Petya/NoPetya déguisé en ransomware. En décembre 2016, la firme de sécurité CyberX a découvert un échantillon de KillDisk déguisé en ransomware, une analyse confirmée par celle de la firme de sécurité ESET en janvier 2017. Le montant exigé par les hackers dans le cadre de ces campagnes indiquait clairement que l’utilisation du malware contre l’Ukraine avait uniquement des desseins destructeurs.
C’est d’ailleurs sur les similarités entre les infrastructures exploitées, les tactiques, les techniques, les procédures et surtout sur le choix de la victime que la firme ESET base sa récente analyse pour établir le lien entre le wiper Petya/NotPetya et les campagnes Sandworm, Black Energy et TeleBots entre autres.
« Il ne s’agit pas d’un incident isolé. Il s’agit de la dernière d’une longue série d’attaques similaires contre l’Ukraine », peut-on lire dans le rapport d’Anton Cherepanov de la firme ESET. Et d’ajouter que « ce groupe continue d’améliorer ses méthodes pour mener des attaques contre l’Ukraine. Avant cette vague d’attaques, le groupe en avait au secteur financier de ce pays. Celle-ci est plutôt dirigée contre des entreprises. Seulement, les hackers auraient sous-estimé les capacités de diffusion du malware. Raison pour laquelle il est devenu incontrôlable ».
Ainsi, pas d’attaque frontale de la firme de sécurité vis-à-vis d’un État. En matière de cybersécurité, les conclusions sont tirées avec la plus grande prudence. Il est simplement question d’un groupe que d’autres acteurs de la scène ont eu à lier à la Russie dans le cadre d’autres campagnes. Du point de vue du Service de sécurité ukrainien cependant, ces développements sont suffisants pour, sans détour, pointer un doigt accusateur sur la Russie.
Igor Mozorov, un membre de la Chambre haute du parlement russe, a qualifié les accusations de l’Ukraine contre la Russie de « fiction » et a ajouté que cette cyberattaque serait plutôt l’œuvre des Américains.
Source : Go, ESET
Et vous ?
Voir aussi :
-
marsupialExpert éminentQuelle bande d'escrocs ces assureurs !le 04/02/2019 à 8:55
-
spawntuxMembre confirméBonjour,
En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche.
Tip top tout cale 04/08/2017 à 17:31 -
MadmacMembre extrêmement actifIl faut-être culotté pour présumer des motifs des auteur, sans les connaître. Mais pour éviter de devoir payer 100 millions, j'essayerais aussi de vendre ce type de pommade.le 03/02/2019 à 20:21
-
Florian_PBMembre avertiLà c'est une surprise pour pas grand monde que la Russie soit pointée du doigt, et encore moins que celle-ci désigne les américains. Bientôt une cyberguerre froide (même si elle a déjà commencée en réalité).le 03/07/2017 à 12:04
-
pik_0frNouveau membre du Clubcrypté la table NTFS c'est comme crypté le sommaire d'un livre et de dire où est le paragraphe sur tel chose. A part scanner le disque en entier c'est la galère. Il existe des outils pour reconstruire des tables mais le temps d'action est démentiel.
Envoyé par philou44300
Et pour moi aussi, le cryptage de la table ne peut pas empêcher le boot sur liveCD ou USB (qui est géré par le Bios de la Carte Mère), mais la récupération. J'ai lu par contre que c'est un cryptage de la MBR qui oblige le reboot sur Petya donc si on est suffisamment rapide en réaction, lorsqu'il reboot la première fois on doit pouvoir sauver les données elles même, mais il faudra reconstitué la table NTFS. Au delà du premier reboot il crypte aussi les données.le 04/07/2017 à 9:27 -
walloonCandidat au Cluble 22/07/2017 à 9:54
-
gangsoleilModérateurL'attitude de l'assureur ne m'étonne pas : pour le moment, ce genre de risques n'est pas directement pris en compte dans les barêmes des assurances, et il est donc assez logique qu'ils refusent de payer en se disant que s'ils payent ici, c'est la porte ouverte à d'autres règlements.
Il est probable qu'on voit les primes d'assurance augmenter si ce risque doit être couvert.le 05/02/2019 à 12:27 -
CoderInTheDarkMembre émériteIl me vient une pensée d'un grand penseur, qui aimait les français
Al Bundy (Maried with children)
"
* Insurance is like marriage.
You pay and pay but you never get anything back."le 06/02/2019 à 15:29