Un auteur de jeux chypriote nie tout lien avec un logiciel malveillant découvert avant l'invasion russe

Le 24 février 2022 à 19:19

Un concepteur de jeux vidéo de 24 ans, qui gère sa petite entreprise dans une maison située à côté d'une vieille église chypriote dans une banlieue tranquille de Nicosie, se trouve maintenant empêtré dans une crise mondiale suite à l'invasion russe de l'Ukraine.

La société de Polis Trachonitis, Hermetica Digital Ltd, a été impliquée par des chercheurs américains dans une cyberattaque de destruction de données qui a touché des centaines d'ordinateurs en Ukraine, en Lituanie et en Lettonie.

Découverte dans la nuit de mercredi à jeudi, quelques heures avant l'entrée des troupes russes en Ukraine, la cyberattaque a été largement considérée comme la première salve de l'invasion de Moscou.

Le malware avait été signé à l'aide d'un certificat numérique portant le nom d'Hermetica Digital, selon les chercheurs, dont certains ont commencé à appeler le code malveillant "HermeticWiper" en raison de la connexion.

Trachonitis a déclaré à Reuters qu'il n'avait rien à voir avec l'attaque. Il a déclaré qu'il n'avait jamais demandé de certificat numérique et qu'il ignorait qu'un tel certificat avait été délivré à son entreprise.

Il a déclaré que son rôle dans l'industrie du jeu vidéo consiste simplement à écrire le texte des jeux que d'autres mettent en place.

"Je n'écris même pas le code - j'écris des histoires", a-t-il dit, ajoutant qu'il n'était pas au courant du lien entre sa société et l'invasion russe jusqu'à ce qu'un journaliste de Reuters le lui dise jeudi matin.

"Je suis juste un Chypriote ... Je n'ai aucun lien avec la Russie".

L'étendue des dommages causés par l'attaque du logiciel malveillant n'était pas claire, mais la société de cybersécurité ESET a déclaré que le code malveillant avait été trouvé installé sur "des centaines de machines".

Les dirigeants occidentaux avertissent depuis des mois que la Russie pourrait mener des cyberattaques destructrices contre l'Ukraine avant une invasion.

La semaine dernière, la Grande-Bretagne et les États-Unis ont déclaré que des pirates militaires russes étaient à l'origine d'une série d'attaques par déni de service distribué (DDoS) qui ont brièvement mis hors ligne des sites bancaires et gouvernementaux ukrainiens.

CERTIFICAT NUMÉRIQUE

Les cyber-espions volent régulièrement l'identité d'inconnus au hasard pour louer un espace serveur ou enregistrer des sites Web malveillants.

Le certificat numérique Hermetica a été émis en avril 2021, mais l'horodatage du code malveillant lui-même était le 28 décembre 2021.

Les chercheurs d'ESET ont déclaré dans un billet de blog que ces dates suggéraient que "l'attaque pouvait être en préparation depuis un certain temps."

Si, comme le supposent largement les experts en cybersécurité et les responsables de la défense américaine, les attaques ont été menées par des Russes, alors les horodateurs sont des points de données potentiellement significatifs pour les observateurs qui espèrent comprendre quand le plan d'invasion de l'Ukraine s'est mis en place.

Jean-Ian Boutin, responsable de la recherche sur les menaces chez ESET, a déclaré à Reuters qu'un acteur malveillant pouvait obtenir frauduleusement un certificat de signature de code de différentes manières.

"Ils peuvent évidemment l'obtenir eux-mêmes, mais ils peuvent aussi l'acheter sur le marché noir", a déclaré Boutin.

"En tant que tel, il est possible que l'opération remonte à plus loin que ce que nous savions auparavant, mais il est également possible que l'acteur de la menace ait acquis ce certificat de signature de code récemment, juste pour cette campagne."

Ben Read, directeur de l'analyse du cyberespionnage chez Mandiant, a déclaré qu'il était possible qu'un groupe puisse "se faire passer pour une entreprise dans ses communications avec une société fournissant des certificats numériques et se faire délivrer frauduleusement un certificat légitime."

La société de cybersécurité Symantec a déclaré que des organisations des secteurs de la finance, de la défense, de l'aviation et des services informatiques avaient été visées par l'attaque de mercredi. DigiCert, la société qui a émis le certificat numérique, n'a pas immédiatement répondu à une demande de commentaire.

Juan-Andres Guerrero-Saade, chercheur en cybersécurité à la société de sécurité numérique SentinelOne, a déclaré que l'objectif de l'attaque était clair : "Cela visait à endommager, désactiver, signaler et causer des ravages."

Accéder à l'article original.
Avertissement légal