Avast Press

Des hackers pro-russes ciblent l’Ukraine avec des attaques DDoS

Rédigé par Avast PR | septembre 6, 2022

Prague, République tchèque, 6 septembre 2022 — Avast (LSE:AVST), leader mondial de la sécurité et de la confidentialité en ligne, a suivi depuis le 1er juin 2022 les activités d’un groupe de hackers pro-russes prénommé NoName057(16). Ce groupuscule lance des attaques en réaction au paysage politique régional, ciblant ainsi des entreprises pro-Ukraine et des institutions de ce pays et de nations voisines, notamment l’Estonie, la Lituanie, la Norvège et la Pologne. Selon l’enquête d’Avast, cette équipe affiche un taux de réussite de 40% ; les entreprises dotées d’une infrastructure de protection suffisante parviennent à résister à ses tentatives d’attaque. Mais l’enquête montre aussi que malgré ses affirmations, ce groupe n’est pas à l’origine de 20% des attaques fructueuses qu’il revendique. 

Les cibles de NoName057(16)

Les membres de NoName057(16) lancent exclusivement des attaques DDoS. Début juin, ils ont ciblé des serveurs d’information ukrainiens. Ils s’en sont ensuite pris à des sites web ukrainiens appartenant à des villes, des administrations, des fournisseurs de commodités, des fabricants d’armes, des réseaux de transport et des bureaux de poste. 

A la mi-juin, les attaques ont pris un tournant davantage politique, puisque des Etats baltes (Lituanie, Lettonie et Estonie) ont été très fortement ciblés. A la suite d’un embargo sur le transport de marchandises soumises aux sanctions de l’UE, transitant entre leur territoire et Kaliningrad, des professionnels du transport lituaniens, des acteurs locaux du ferroviaire et des sociétés de transport routier ont été visés par le groupuscule. Le 1er juillet 2022, l’acheminement de marchandises destinées à des mineurs travaillant pour Arktikugol, entreprise minière appartenant au gouvernement russe, a été stoppé par les autorités norvégiennes. Le groupuscule a riposté en attaquant des acteurs norvégiens de premier plan – des services de transport (Kystverket, Helitrans et Boreal), des services postaux (Posten) et des institutions financières (Sbanken et Gjensidige). Début août, lorsque la Finlande a annoncé son intention d’intégrer l’OTAN, le groupuscule NoName057(16) s’en est pris à des institutions de ce pays, dont son Parlement (Eduskunta), son Conseil d’Etat et sa police.

Taux de réussite de 40%

NoName057(16) compte quelque 14 000 followers sur Telegram, auprès desquels il ne se prive pas de se vanter de ses attaques DDoS abouties ; sa chaîne a été créée le 11 mars 2022. Le groupuscule met en avant uniquement ses attaques DDoS réussies.  

« Bien que le groupuscule se targue d’un nombre d’attaques fructueuses assez important, les données statistiques ne les confirment pas, bien au contraire » explique Martin Chlumecky, expert en programmes malveillants chez Avast. « Son taux de réussite est de 40%. Nous avons comparé la liste des cibles que le serveur C&C incriminé envoie aux bots Bobiket avec celle que le groupuscule poste sur sa chaîne Telegram. Les sites web hébergés sur des serveurs ultra-sécurisés résistent à ces attaques. Près de 20% des attaques revendiquées par le groupuscule ne correspondent pas aux cibles énumérées dans leurs fichiers de configuration ».

Les bots Bobik, une petite armée

Le groupuscule a pris le contrôle de PC non-protégés dans le monde entier, infectés par un programme malveillant nommé Bobik, qui les transforme en robots (bots). Bobik est apparu pour la première fois en 2020, étant utilisé comme outil d’accès à distance par le passé. Ce malware est diffusé par un programme dropper appelé Redline Stealer, à savoir un botnet-as-a-service utilisé par les cybercriminels. Avast a déjà protégé efficacement plusieurs centaines de PC visés par Bobik. Un expert d’Avast, Martin Chlumecky, évalue néanmoins à plusieurs milliers le nombre de bots Bobik dans la nature, étant donné l’efficacité et la fréquence des attaques. 

Le groupe envoie des commandes à ses bots via un serveur C&C situé en Roumanie. Par le passé, il détenait deux autres serveurs en Roumanie et en Russie, mais ceux-ci ne sont plus en activité. Les bots reçoivent des listes de cibles pour lancer des attaques DDoS, sous forme de fichiers de configuration XML mis à jour trois fois par jour. Ils tentent de saturer des pages de connexion (login), des sites de récupération de mots de passe et les pages de réponses aux requêtes effectuées sur les sites. Les attaques durent entre quelques heures et plusieurs jours. 

L’impact des attaques 

Les attaques les plus abouties du groupuscule ont rendu inopérants les sites concernés pendant plusieurs heures voire jours. Pour parer à ces attaques, les opérateurs de sites locaux ou de moindre envergure recourent souvent au blocage des requêtes d’origines extérieures à leurs pays. Dans certains cas extrêmes, les exploitants de sites ciblés par le groupuscule sont allés jusqu’à annuler leur nom de domaine.

« La puissance des attaques DDoS lancées par NoName057(16) est pour le moins discutable. Ils ont été capables de frapper treize adresses URL à la fois, à en croire l’historique des configurations, dont des sous-domaines » poursuit Martin Chlumecky. « De plus, une configuration XML contient souvent un domaine défini en tant qu’ensemble de sous-domaines, ce qui permet à Bobik de cibler avec efficacité cinq domaines différents au sein d’une même configuration. Mais ils ne peuvent cibler davantage de domaines pour des raisons de capacités et d’efficacité ». 

Les attaques DDoS menées étaient plus délicates à gérer dans le cas des opérateurs de sites disposant de noms de domaine majeurs ou stratégiques – banques, administrations et multinationales. Après une attaque aboutie, les experts d’Avast ont remarqué que les plus grandes entreprises implémentaient des solutions d’entreprise telles que Cloudflare ou BitNinja, qui peuvent filtrer le trafic entrant et ainsi détecter des attaques DDoS dans la plupart des cas. 

D'autre part, la plupart des grandes entreprises internationales s'attendent à un trafic plus important et gèrent leurs serveurs Web dans le Cloud avec des solutions anti-DDoS, ce qui les rend plus résistants aux attaques. Par exemple, le groupe n'a pas réussi à nuire aux sites appartenant à la banque danoise Danske Bank (attaquée du 19 au 21 juin 2022) et à la banque lituanienne SEB (attaquée du 12 au 13 juillet 2022 et du 20 au 21 juillet 2022).

Les attaques les plus fructueuses perpétrées par NoName057(16) ont pénalisé les entreprises disposant de sites très simples contenant des éléments basiques telles que leurs coordonnées, leur raison d’être professionnelle et quelques autres informations. Les serveurs de sites de ce type ne sont généralement pas conçus pour être surchargés et n’implémentent souvent pas de dispositifs anti-attaques DDoS, ce qui fait d’eux des cibles de choix. 

Comment les entreprises et le grand public peuvent se prémunir

Les entreprises peuvent protéger leur site web contre les attaques DDoS en adoptant des logiciels spécialisés et en passant au cloud.  

Les particuliers peuvent quant à eux protéger leurs appareils en les équipant d’un logiciel antivirus fiable de type Avast One, pour éviter qu’ils ne soient enrôlés dans un botnet. Avast One détecte les programmes malveillants tels que Bobik et les bloque. Le grand public doit également toujours éviter de cliquer sur des liens ou des pièces jointes d’origine douteuse et évidemment veiller à mettre ses logiciels à jour dès qu’un correct de sécurité est mis à disposition. Il est difficile de savoir si un appareil a été exploité pour lancer une attaque DDoS, le seul indice étant un pic de trafic réseau soudain en direction d’une destination inconnue.

Pour en savoir plus sur le groupuscule pro-russe, le programme malveillant Bobik et les attaques DDoS, rendez-vous sur le blog Avast Decoded.