Avertissement : Le rythme des opérations militaires en Ukraine, ainsi que les réactions internationales, entraînent des évolutions très rapides de la situation. En outre, de nombreuses informations circulant en ligne sont invérifiées. Les éléments présentés ne doivent pas être considérés comme exhaustifs et peuvent être obsolètes au moment de leur lecture. L’ANSSI s’efforcera de mettre à jour de manière régulière cette section en fonction de l’évolution de la situation.
Les tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie s’accompagnent d’effets dans le cyberespace. Si les combats en Ukraine sont principalement conventionnels, l’ANSSI constate l’usage de cyberattaques dans le cadre du conflit. Dans un espace numérique sans frontières, ces cyberattaques peuvent affecter des entités françaises et il convient sans céder à la panique de l’anticiper et de s’y préparer. Aussi, afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’ANSSI partage des bonnes pratiques de sécurité ainsi que des éléments sur la menace et invite l’ensemble des acteurs à s’en saisir. A cette fin, ce bulletin centralise et diffuse les éléments d’intérêt cyber en lien avec le contexte actuel pour favoriser le renforcement du niveau de protection de l’ensemble des entités françaises. Il sera mis à jour régulièrement.
État de la menace
Depuis le 23 février 2022, soit la veille du déclenchement de l’opération militaire russe en Ukraine, des cyberattaques assez diverses ont été constatées :
-
Des attaques par déni de service distribué (DDoS) qui auraient notamment visé les sites d’institutions gouvernementales et également de banques ukrainiennes. Des groupes hackvitistes, dont certains répondant à l’appel du gouvernement ukrainien, ont également conduit des attaques par déni de service distribué à l’encontre de cibles russes ;
-
Des défigurations de sites internet en Ukraine, en Russie et en Biélorussie ;
-
Des tentatives d’intrusion sur les messageries électroniques avec du hameçonnage ciblé d’institutions ou des forces armées ukrainiennes ont été rapportées ;
-
Des cyberattaques avec des codes malveillants de sabotage (wiper) ont été identifiées. Ces actions, les plus destructrices, semblent parfois avoir été précédées par des exfiltrations de données.
Les motivations des cyberattaques contre l’Ukraine correspondent aux objectifs militaires russes allant de la perturbation des services ukrainiens à l’influence du traitement médiatique du conflit en Ukraine. Les attaques à des fins d’espionnage stratégique par des groupes d’attaquants pro-russes (présumés russes, biélorusses ou affiliés aux séparatistes soutenus par la Russie) se poursuivront très probablement en Ukraine, tout comme les actions de sabotage.
Si ces cyberattaques ont des impacts limités en France et en Europe pour le moment, la menace informatique contre les systèmes d’information européens reste élevée. Des groupes d’attaquants liés à la Russie continueront très probablement de cibler des entités gouvernementales et diplomatiques pour des opérations de renseignement stratégique ; ils pourraient en outre conduire des actions de représailles contre les sanctions décidées par l’Union Européenne.
De surcroît, des activités hacktivistes ont été constatées. Si leurs conséquences semblent limitées, elles ne doivent pas être sous-estimées, de telles attaques pouvant provoquer l’indisponibilité de ressources sensibles ou porter atteinte à l’image d’institutions publiques ou privées. Des groupes hacktivistes ont notamment ciblé les sites d’entreprises européennes n’ayant pas annoncé leur retrait du marché russe.
Ces activités malveillantes pourraient affecter directement ou par rebond des entités françaises. Les entreprises françaises ayant des filiales en Ukraine ou en Russie sont évidemment particulièrement exposées à ce risque et doivent donc se montrer vigilantes.
Des acteurs offensifs non liés directement aux parties en conflit ont d’ores et déjà tenté d’exploiter la situation de façon opportuniste pour mener des actions d’hameçonnage ciblé ou d’escroquerie. Les courriels ou messages non sollicités évoquant la question de l’accueil des réfugiés ukrainiens ou toute autre thématique en lien avec la situation en Ukraine doivent donc faire l’objet d’une prudence renforcée.
Enfin, une partie de l’écosystème cybercriminel russophone s’est positionné dans le conflit en cours, le groupe cybercriminel Conti apportant par exemple son soutien au gouvernement russe. D’autres groupes ont toutefois déclaré rester neutres, se focalisant uniquement sur des objectifs lucratifs. Enfin, des cybercriminels ont déclaré souhaiter et être en mesure de cibler des infrastructures critiques russes. Cette division de l’écosystème cybercriminel combiné à d’éventuels effets d’aubaine incitent à la prudence en cas de cyberattaques, qui ne sauraient être interprétées trop rapidement comme une action commanditée dans le cadre du conflit.
Vulnérabilités
De nombreux incidents observés par l’ANSSI au cours de l’année 2021 présentent un lien avec l’exploitation d’une vulnérabilité ayant fait préalablement l’objet de publications d’avis ou d’alertes sur le site du CERT-FR, parfois accompagnées de campagnes de signalement. L’ANSSI recommande donc d’appliquer le plus tôt possible les correctifs de sécurité idoines publiés par les éditeurs, notamment ceux permettant de corriger des vulnérabilités sur des solutions exposées sur Internet et rendant possible une primo-intrusion ou ayant un impact critique sur le système d’information dans son ensemble. À cet égard, le document suivant propose une analyse des vulnérabilités les plus critiques traitées par l’ANSSI au cours de l’année 2021 :
Étant donné le contexte actuel et alors que les vulnérabilités sont exploitées de manière de plus en plus rapide par les attaquants, l’ANSSI recommande en parallèle de renforcer les activités de traitement des vulnérabilités (veille, identification, application des mesures de correction) afin d’assurer le meilleur niveau possible de sécurisation des systèmes.
La gestion des vulnérabilités est indispensable au maintien en condition de sécurité des systèmes d’information, et dépasse le cadre des vulnérabilités mentionnées dans le « top 10 des vulnérabilités de 2021 ».
À titre d’exemple, l’ANSSI a connaissance d’exploitations ou de tentatives d’exploitation des vulnérabilités de la liste suivante par des modes opératoires liés à la Russie. L’ANSSI recommande fortement de se protéger en priorité contre ces vulnérabilités identifiées comme critiques et pouvant être utilisées pour l’accès initial à un système d’information.
Cette liste n’est pas exhaustive et est susceptible d’être mise à jour. En particulier, l’ANSSI rappelle que l’application des correctifs de sécurité ne doit pas se limiter à ces seules vulnérabilités.
[mise à jour du 12 avril 2022]
Pour certaines vulnérabilités, des règles de détection au format Sigma, conçues et qualifiées par l’ANSSI, sont mises à disposition. Des mesures de détection publiquement disponibles sont également fournies à titre indicatif mais n’ont pas fait l’objet d’une qualification par l’ANSSI.
Bonnes pratiques
Utilisation d’outils numériques liés à la Russie
Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie. A ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. Des précautions élémentaires doivent cependant être prises :
- La déconnexion d’outils de cybersécurité dans un contexte de tensions dans le cyberespace et de cybercriminalité exacerbée peut fragiliser significativement la cybersécurité de votre organisation. Aussi, sans solution de substitution, cette déconnexion ne saurait être préconisée.
- L’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie peut affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. A moyen-terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée.
Éléments techniques
Avertissement : Les marqueurs partagés par l’ANSSI proviennent d’éléments disponibles en sources ouvertes et ont vocation à fournir de la connaissance technique de base en lien avec la menace et être utilisés à des fins de détection et de protection. Ils ont fait l’objet d’une première qualification par l’ANSSI mais doivent néanmoins être manipulés avec précaution.
Certains marqueurs correspondent à des infrastructures légitimes compromises par des attaquants et doivent être utilisés avec précaution :
- toute détection à partir de ces éléments ne constitue pas nécessairement une preuve de compromission et doit être analysée afin de lever le doute ;
- d’une manière générale, ces marqueurs doivent être utilisés pour de la supervision plutôt que des actions de blocage.
Cette liste n’est pas exhaustive et sera mise à jour de manière régulière en fonction de l’évolution de la situation.
Nobelium :
https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-010/
TÉLÉCHARGER LES MARQUEURS (JSON MISP)
???????? DOWNLOAD IOCs (JSON MISP)
TÉLÉCHARGER LES MARQUEURS (CSV MISP)
???????? DOWNLOAD IOCs (CSV MISP)
NCSC-UK/CISA :
https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter
TÉLÉCHARGER LES MARQUEURS (JSON MISP)
???????? DOWNLOAD IOCs (JSON MISP)
TÉLÉCHARGER LES MARQUEURS (CSV MISP)
???????? DOWNLOAD IOCs (CSV MISP)
ESET :
https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/
TÉLÉCHARGER LES MARQUEURS (JSON MISP)
???????? DOWNLOAD IOCs (JSON MISP)
TÉLÉCHARGER LES MARQUEURS (CSV MISP)
???????? DOWNLOAD IOCs (CSV MISP)