Ukraine à J+341 : Killnet frappe les hôpitaux américains.

Au moins quatorze centres médicaux américains (dont Duke University Hospital en Caroline du Nord, Stanford Healthcare et Cedars-Sinai en Californie, University of Pittsburgh Medical Center et Jefferson Health, Philadelphie, en Pennsylvanie, selon au Carolina Journal) ont été touchés hier par des attaques par déni de service distribué (DDoS). Les incidents sont attribués au cyber auxiliaire russe Killnet. L’Association des hôpitaux américains averti ses membres hier que, “Le groupe hacktiviste ‘KillNet’ – a ciblé l’industrie de la santé américaine dans le passé et cible activement le secteur de la santé et de la santé publique. Le groupe est connu pour lancer des attaques DDoS et exploite plusieurs canaux publics visant à recruter et attirer l’attention sur ces attaques.” Les attaques DDoS de cette semaine semblent avoir été rapidement contenues et atténuées, ce qui a normalement été le cas avec les actions précédentes de Killnet.

Une alerte émise par le Centre de coordination de la cybersécurité du secteur de la santé (HC3) du Département américain de la santé et des services sociaux évalué les implications de la menace. “KillNet utilise des scripts DDoS et des stresseurs IP accessibles au public pour la plupart de ses opérations.” Celles-ci sont une offre depuis un certain temps sur les marchés clandestins entre criminels. Les organisations d’application de la loi ont pu supprimer certains de ces services et inculper certains des opérateurs, mais HC3 prévient que la menace est loin d’être terminée : “Malgré ce succès, on ne sait toujours pas si (et comment) cette action d’application de la loi pourrait avoir un impact sur KillNet. qui a transformé son service DDoS-for-hire en une opération hacktiviste au début de cette année. En outre, il est probable que des groupes ou des opérateurs de ransomwares pro-russes, tels que ceux du défunt groupe Conti, répondront à l’appel de KillNet et fourniront un soutien. entraînera que les entités ciblées par KillNet seront également touchées par des ransomwares ou des attaques DDoS comme moyen d’extorsion, une tactique que plusieurs groupes de ransomwares ont utilisée.

(Ajouté, 14h00, le 31 janvier 2023. Daniel Selig, Security Automation Architect chez Swimlane, a fait des commentaires pour mettre les attaques DDoS en perspective. Bien que ces attaques n’aient généralement pas dépassé le niveau de nuisance, elles constituent néanmoins probablement une violation des lois de la guerre :

“Le célèbre cybergang russe Killnet a revendiqué la responsabilité d’une cyberattaque qui a détruit plus d’une douzaine de systèmes en ligne d’hôpitaux et de centres médicaux américains. Bien que la connexion directe n’ait pas encore été confirmée, l’attaque survient peu après la décision du président Biden d’envoyer 31 M1A2 Abrams. Ce n’est pas la première fois que Killnet lance des cyberattaques contre des pays qui ont aidé l’Ukraine dans la guerre contre la Russie – la semaine dernière, une pléthore d’organisations du secteur financier allemand, d’aéroports et d’organismes de l’administration publique ont été ciblés par le groupe de cybercriminalité en une vaste campagne DDoS.

“Il va sans dire que les cyberattaques contre les hôpitaux et les centres médicaux sont parmi les plus dangereuses – ces attaques ont la capacité de mettre les systèmes hors ligne dans leur intégralité et d’empêcher les patients de recevoir les soins dont ils ont besoin. Alors que les tensions entre la Russie et l’Ukraine continuent de s’échauffent, il est essentiel que les parties extérieures impliquées dans la défense de l’Ukraine soient correctement préparées à la réaction de la Russie alors que Killnet continue de cibler des alliés.

“Il est important d’être sensible aux défis auxquels ces hôpitaux et établissements médicaux sont confrontés – les chances sont contre bon nombre de ces organisations, et il peut être extrêmement difficile pour elles de suivre les menaces en constante évolution et de défendre leurs systèmes critiques. Dans En fait, il est légalement interdit par la quatrième convention de la Convention de Genève d’attaquer des hôpitaux civils et des transports médicaux, mais les hôpitaux continuent de faire face à ces menaces bien trop souvent.Heureusement, l’automatisation continue de jouer un rôle plus important en aidant ces organisations à prioriser la sécurité et la ronde Pour atténuer les répercussions d’incidents similaires et les éliminer complètement, les entreprises doivent accorder la priorité à des contrôles de sécurité robustes afin de contrecarrer les cybercriminels qui tentent de provoquer des perturbations généralisées. L’automatisation de la sécurité à faible code permet à ces entreprises de rationaliser les protocoles de sécurité et de mettre en œuvre une réponse appropriée aux incidents pour assurer une protection complète, tout en éliminant réduire le risque d’erreur humaine pouvant conduire à un accès interne. »

Nous avons également entendu Aleksandr Yampolskiy, co-fondateur et PDG de SecurityScorecard, qui a donné un aperçu de l’organisation de Killnet et de sa place dans l’écosystème hacktiviste et criminel. “Le groupe Killnet est considéré comme des hacktivistes car il est très motivé par des tendances nationalistes à s’en prendre à l’Occident (en raison du soutien à l’Ukraine)”, a-t-il écrit. “Ils fournissent des instructions de déni de service (DDoS) indiquant les scripts que les utilisateurs doivent installer pour exécuter des attaques DDoS contre les hôpitaux. Killnet a sollicité environ 14 autres groupes de pirates informatiques russes pour se joindre. Killnet s’organise dans un groupe de discussion crypté hébergé sur le service Telegram . Il y a plus de 92 000 abonnés sur la chaîne Telegram pour Killnet (qui sont impatients d’aider à participer – principalement de Russie). Ils partagent des didacticiels de formation pour les débutants afin de les transformer en pirates. Ils partagent également activement les mots de passe pour les sites Web WordPress compromis (et wp -identifiants de connexion ) pour les utiliser comme modules de saut.”

Il a également décrit certaines des tactiques caractéristiques de Killnet : “Un thème commun avec Killnet est l’exploitation continue des routeurs MikroTek. La plupart des serveurs proxy utilisés par l’outil CC-Attack sont obtenus à partir de sites Web proxy gratuits accessibles au public. Une quantité importante des proxys récoltées à partir de ces ressources se composent d’appareils mal configurés, vulnérables et exploités qui exécutent MikroTik RouterOS.Cette attaque est un autre exemple de la façon dont la prolifération des appareils OT/IOT crée des voies d’attaque supplémentaires (par exemple, une caméra pour bébé ou un réfrigérateur) mal configurées – peut désormais être utilisé par les pirates. Actuellement, les acteurs de la menace continuent de cibler les installations médicales aux États-Unis.”)

Réflexions supplémentaires sur l’essuie-glace SwiftSlicer du GRU.

L’essuie-glace SwiftSlicer Chercheurs d’ESET trouvé dans certains systèmes ukrainiens, est associé au GRU russe, en particulier au groupe Sandworm contrôlé par ce service de renseignement militaire. Connexion à la cybersécurité observe que Sandworm a une histoire. “En particulier, le groupe a ciblé le réseau électrique ukrainien en 2015, qui a vu des experts de la faculté de droit de Berkeley de l’Université de Californie demander à la Cour pénale internationale de La Haye de qualifier l’attaque – et d’autres cyberagressions russes – de crime de guerre.”

Dmitry Bestuzhev, chercheur le plus distingué sur les menaces, BlackBerry, a fait quelques commentaires sur cette réapparition des logiciels malveillants d’essuie-glace dans les systèmes ukrainiens.

“Si nous examinons le paysage des menaces ukrainiennes en 2022-2023, trois principales familles de logiciels malveillants les ciblent : les rançongiciels (massifs), les essuie-glaces (ciblés) et les portes dérobées avec des capacités de vol d’informations (ciblage). La plupart de ces familles malveillantes semblent viennent de Russie et sont utilisés dans le cadre de la guerre. Alors que les rançongiciels cryptent les données, leur propagation massive permet de perturber un nombre important d’ordinateurs. L’un des groupes les plus actifs ciblant l’Ukraine est le groupe Conti. Les essuie-glaces n’ont pas été utilisés largement car ils sont des armes ciblées. Cependant, le même acteur de la menace appelé Sandworm a travaillé activement sur le développement de familles d’essuie-glaces et de ransomwares utilisés explicitement pour l’Ukraine. Sullivan Ransomware en est un exemple. Enfin, les portes dérobées avec des voleurs d’informations tournent autour de RomCom RAT , qui est également codé pour cibler l’Ukraine. Les acteurs de la menace à l’origine des attaques en Ukraine ont deux objectifs principaux : la destruction de données ou le vol d’informations. Parfois, le second est t a première étape d’opérations plus étendues conduisant à la destruction des données des semaines ou des mois plus tard.

“Dans le cas de la dernière attaque d’essuie-glace contre l’Ukraine, le nom de fichier d’origine utilisé par l’auteur de la menace est “Total Commander”. C’est un gestionnaire de fichiers très populaire dans les pays d’Europe de l’Est. On ne sait pas comment cela se retrouverait sur les machines infectées. Cependant, il est évident que l’acteur de la menace s’appuie sur les noms de fichiers des applications les plus populaires. Lorsque nous pensons à RomCom RAT, son vecteur d’infection initial passe par un faux site Web qui ressemble à un site Web légitime. La publicité malveillante est donc quelque chose à prendre en compte et l’ingénierie sociale aussi. Je dirais que ces deux vecteurs d’infection sont importants à surveiller.

“Dans ce cas, l’essuie-glace utilisé était GoLang, qui a été de plus en plus couvert par les médias. GoLang est un langage multiplateforme, qui n’est pas simple à inverser. Cela en fait un choix solide lors du développement d’armes. D’une part, il peut être facilement utilisé pour coder à la fois pour les environnements Windows et Linux. D’un autre côté, lorsque ces échantillons se retrouvent entre les mains des chercheurs, il faut beaucoup de temps pour les inverser.

Activité SVR dans la guerre hybride.

Le GRU et le FSB ont récemment été considérés comme actifs dans la guerre de la Russie contre l’Ukraine. Les chercheurs ont également observé l’activité SVR, SecurityWeek rapports. Le service de renseignement étranger russe (suivi de diverses manières sous les noms de Cozy Bear, the Dukes, Nobelium, Yttrium et APT29) a utilisé des leurres à thème diplomatique comme appâts hameçons, a conclu le groupe Insikt de Recorded Future à la fin de 2022. On ne sait pas qui sont les cibles, mais des appâts diplomatiques semble particulièrement efficace contre un éventail de prospects, y compris, mais sans s’y limiter, les ambassades et le personnel diplomatique, pendant les périodes de tension internationale accrue. Recorded Future suit le sous-groupe responsable en tant que BlueBravo et note qu’il chevauche APT29 et Nobelium. “En octobre 2022, nous avons identifié BlueBravo mettant en scène le malware GraphicalNeutrino dans un fichier ZIP malveillant”, leur rapport dit, ajoutant: “La mise en scène et le déploiement de ce fichier ZIP chevauchent le compte-gouttes EnvyScout précédemment utilisé, dont l’utilisation est liée à APT29 et NOBELIUM.” BlueBravo se distingue par son abus de services légitimes.

La Russie insiste sur le fait qu’elle est la vraie victime ici.

En toute justice, TASS présente une image très différente des cyberphases de la guerre hybride de la Russie. Les remarques du vice-ministre russe des Affaires étrangères méritent d’être citées en détail. “En 2022, la Russie a été confrontée à des cyberattaques externes sans précédent. En fait, nous sommes devenus la cible d’agressions coordonnées impliquant des agences de renseignement, des sociétés transnationales de l’informatique et des “hackers activistes” de l’Occident collectif et de ses marionnettes… Non seulement nous enregistrons une augmentation dans les attaques, mais leur complexité augmente également…. Nos malfaiteurs cherchent à causer le plus de dégâts possible, en utilisant tous les outils possibles pour frapper les infrastructures critiques de notre pays. Le secteur gouvernemental a porté le coup principal en 2022. Le nombre De telles attaques ont doublé et même triplé au cours de l’année écoulée. Nous avons enregistré de nombreuses attaques contre les ressources d’information du ministère russe des Affaires étrangères. L’Ukraine, qui a depuis longtemps perdu son indépendance, est utilisée par ses commanditaires comme tremplin pour des cyberattaques contre la Russie et ses partenaires. C’est une façon de voir les choses.

— to news.google.com