Ce que Google, Amazon et Microsoft ont révélé sur la cybersituation ukrainienne

Nous sommes ravis de ramener Transform 2022 en personne le 19 juillet et virtuellement du 20 au 28 juillet. Rejoignez les leaders de l’IA et des données pour des conversations perspicaces et des opportunités de réseautage passionnantes. Inscrivez-vous aujourd’hui!


Avec des informations limitées provenant d’Ukraine sur les cyberattaques qui frappent le pays, les conclusions des géants de la technologie Google, Amazon et Microsoft publiées ces derniers jours ont fourni une fenêtre sur les conditions cybernétiques en Ukraine alors que l’attaque brutale de la Russie se poursuit.

Les trois sociétés ont déclaré fournir un soutien en matière de cybersécurité à l’Ukraine, dont le gouvernement a déclaré samedi avoir été témoin d’attaques par déni de service distribué (DDoS) « ininterrompues » par des « pirates russes » depuis l’invasion de la Russie le 24 février.

Cependant, comme en témoignent les derniers rapports de Google, Amazon et Microsoft, l’infrastructure informatique de l’Ukraine a été victime de plus que de simples attaques DDoS dans le cadre de la campagne militaire non provoquée de la Russie (bien que nous n’ayons pas encore entendu parler d’une cyberattaque). et infrastructures de communication).

Google, Amazon et Microsoft ont une vision du paysage des menaces de sécurité grâce à l’exploitation de plates-formes massives de cloud computing, d’applications utilisées par de nombreux gouvernements et entreprises et de diverses solutions de sécurité. AWS continue de maintenir son leadership sur le marché des services d’infrastructure cloud, selon Synergy Research Group, suivi de Microsoft Azure à la deuxième place et de Google Cloud à la troisième place.

Voici les derniers détails que Google, Amazon et Microsoft ont révélés sur la cybersituation en Ukraine.

Google

Au cours des deux dernières semaines, Google a déclaré que son groupe d’analyse des menaces (TAG) “a observé l’activité d’un certain nombre d’acteurs de la menace que nous surveillons régulièrement et qui sont bien connus des forces de l’ordre”. Parmi les acteurs de la menace figurent FancyBear/APT28, que les chercheurs ont lié à la direction du renseignement russe (GRU), et Ghostwriter/UNC1151, que les chercheurs ont lié au ministère biélorusse de la Défense.

« Cette activité va de l’espionnage aux campagnes de phishing. Nous partageons ces informations pour aider à sensibiliser la communauté de la sécurité et les utilisateurs à haut risque », a déclaré lundi Shane Huntley du groupe d’analyse des menaces de Google dans un article de blog.

FancyBear a mené « plusieurs grandes campagnes de phishing d’informations d’identification » ciblant les utilisateurs avec l’adresse e-mail ukr.net (de la société de médias ukrainienne UkrNet). “Les e-mails de phishing sont envoyés à partir d’un grand nombre de comptes compromis (pas Gmail/Google) et incluent des liens vers des domaines contrôlés par des attaquants”, a déclaré Huntley.

Deux des campagnes incluaient l’utilisation des nouveaux domaines de Blogspot pour la page de destination – qui redirige les utilisateurs vers un site de phishing d’informations d’identification, a-t-il déclaré.

Ghostwriter/UNC1151 a déjà été blâmé pour les récentes attaques de phishing contre l’armée ukrainienne. Cependant, le groupe a attaqué non seulement le gouvernement ukrainien et les organisations militaires, mais aussi des membres de l’armée et du gouvernement polonais, selon un blog Google écrit par Huntley. La Pologne est membre de l’OTAN.

Outre ukr.net, les autres fournisseurs de messagerie dont les utilisateurs ont été ciblés par les attaques de phishing UNC1151 incluent i.ua, meta.ua, wp.pl, yandex.ru et rambler.ru.

Pendant ce temps, un acteur menaçant chinois connu sous le nom de Mustang Panda (ou Temp.Hex) a cherché à capitaliser sur le sort de l’Ukraine, selon le blog Google. Le groupe “a ciblé des entités européennes avec des leurres liés à l’invasion ukrainienne”, indique le blog de Huntley, qui comprenait “des pièces jointes malveillantes avec des noms de fichiers comme” Situation aux frontières de l’UE avec Ukraine.zip “”.

“Le fichier zip contient un exécutable du même nom qui est un téléchargeur de base et qui, lorsqu’il est exécuté, télécharge plusieurs fichiers supplémentaires qui transportent la charge utile finale”, indique le blog.

Google a également noté “des tentatives de DDoS contre divers sites Web en Ukraine, y compris le ministère des Affaires étrangères, le ministère de l’Intérieur, ainsi que des services comme Liveuamap conçus pour aider les gens à trouver des informations”, a déclaré le blog de Google.

En réponse, Google déclare avoir élargi les critères d’éligibilité pour bénéficier d’une protection DDoS gratuite dans le cadre de Project Shield – “afin que les sites Web du gouvernement ukrainien, les ambassades du monde entier et d’autres gouvernements proches du conflit puissent rester en ligne, se protéger et continuer à offrir ses services cruciaux. . services et assurer l’accès à l’information dont les gens ont besoin ».

amazone

Dans un article de blog vendredi, Amazon a déclaré que sa plate-forme cloud, Amazon Web Services (AWS), “travaille en étroite collaboration avec les clients et partenaires ukrainiens pour assurer la sécurité de leurs applications”.

Le travail consistait à aider les clients ukrainiens à appliquer les meilleures pratiques en matière de cybersécurité, à « créer et fournir des services et des outils techniques aux clients ukrainiens » pour les aider à migrer leur infrastructure sur site vers AWS « afin de la protéger de tout potentiel physique ou virtuel ». attaque », a déclaré l’équipe d’Amazon sur le blog.

Au cours des deux semaines précédentes, Amazon a également noté “de nouvelles signatures de logiciels malveillants et des activités de divers acteurs étatiques que nous surveillons”. Les détails n’ont pas été fournis, Amazon a déclaré qu’il partageait les informations sur les menaces qu’il avait recueillies avec les gouvernements et les organisations informatiques en Europe, en Amérique du Nord et dans d’autres régions.

Notamment, Amazon a déclaré qu’il constatait “une augmentation de l’activité des acteurs étatiques malveillants” et également “un rythme opérationnel plus élevé de la part d’autres acteurs malveillants”.

Et Amazon rapporte qu’il a observé “plusieurs cas où des logiciels malveillants ont été spécifiquement ciblés sur des organisations caritatives, des ONG et d’autres organisations d’aide pour semer la confusion et provoquer des perturbations”.

“Dans ces cas particulièrement flagrants, le malware visait à perturber les fournitures médicales, la nourriture et les vêtements”, a déclaré l’équipe d’Amazon sur le blog.

Un représentant d’Amazon a déclaré à VentureBeat que la société n’avait aucun autre détail à partager sur les cyberattaques ciblant des organisations caritatives, des ONG et d’autres organisations d’aide.

Microsoft

Le rapport d’Amazon sur ces cyberattaques fait écho aux commentaires plus tôt cette semaine du président de Microsoft, Brad Smith. Dans un article de blog du 28 février, Smith a fait allusion à des cas de cyberattaques ciblant l’aide humanitaire, les services d’intervention d’urgence, l’agriculture et l’énergie. Microsoft n’a pas non plus fourni plus de détails.

Les récentes cyberattaques contre ces cibles civiles en Ukraine “soulèvent de sérieuses inquiétudes au regard de la Convention de Genève”, a déclaré Smith dans ce blog – faisant référence au traité international qui définit ce que l’on appelle communément les “crimes de guerre”.

Dans un article de blog vendredi – dans lequel Smith a annoncé que Microsoft suspendrait toutes les nouvelles ventes et services de ses produits en Russie – le président de Microsoft a déclaré que « notre espace de travail le plus percutant est presque certainement la protection de la cybernétique ukrainienne. .”

“Nous continuons à travailler de manière proactive pour aider les responsables de la cybersécurité en Ukraine à se défendre contre les attaques russes, y compris plus récemment une cyberattaque contre un grand diffuseur ukrainien”, a déclaré Smith.

En fin de compte, “depuis le début de la guerre, nous avons agi contre le positionnement russe, les mesures destructrices ou perturbatrices contre plus de 20 organisations ukrainiennes du gouvernement, de l’informatique et du secteur financier”, a-t-il déclaré.

Le précédent article de blog de Smith ne mentionnait pas spécifiquement la Russie dans le cadre des cyberattaques en Ukraine – ni ne mentionnait le nombre d’organisations gouvernementales, informatiques et financières ukrainiennes qui ont été attaquées.

“Nous prenons également des mesures contre les cyberattaques ciblant un certain nombre de sites civils supplémentaires”, a déclaré Smith. “Nous exprimons publiquement nos inquiétudes quant au fait que ces attaques contre des civils violent la Convention de Genève.”

Le blog de Smith vendredi était le troisième article de Microsoft la semaine dernière sur la cybersituation en Ukraine. Le 2 mars, Microsoft a averti que le groupe à l’origine des cyberattaques “HermeticWiper” – une série d’attaques de logiciels malveillants d’effacement de données qui ont frappé plusieurs organisations ukrainiennes le 23 février – reste une menace permanente.

“Microsoft évalue qu’il existe toujours un risque d’activité destructrice de la part de ce groupe, car nous avons observé des intrusions ultérieures depuis le 23 février impliquant ces ressources malveillantes”, a déclaré la société dans la mise à jour du blog.

La mission de VentureBeat est d’être un marché numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. En savoir plus sur l’association.

Leave a Comment