La guerre entre la Russie et l’Ukraine s’étend au-delà des champs de bataille. Désormais, la cyberguerre s’intègre activement dans leurs stratégies. Dernièrement, les chercheurs du fournisseur en cybersécurité Crowdstrike ont constaté une attaque par déni de service menée par l’Ukraine. Elle visait des sites web russes et biélorusses.
Une attaque menée par l’Armée informatique ukrainienne
La société Crowdstrike a constaté que l’Armée informatique ukrainienne était impliquée dans l’attaque DoS qui affecte actuellement les sites russes et biélorusses. En effet, il s’agit d’une organisation de cyberguerre volontaire qui a été créé vers la fin février 2022, et est soutenue par son gouvernement aux plus hauts niveaux. Cette entité a été conçue pour lutter contre les intrusions numériques menées par les Russes, dans l’information ukrainienne et dans le cyberespace, notamment après le début de l’invasion russe de l’Ukraine le 24 février.
La société de cybersécurité Crowdstrike a établi un lien entre ces attaques et les activités pro-ukrainiennes contre les Russes. Elle alerte ainsi sur les risques de vengeances des acteurs de la menace sur les entreprises qui sont utilisées pour mener des attaques perturbatrices. Cela concerne aussi bien les sites web civils que militaires et gouvernementaux.
Une attaque via des images Docker compromises
Selon la société de cybersécurité, les armes employées sont deux images Docker compromises utilisées comme honeyspots. Ces failles ont servi à quatre reprises pour exécuter des attaques par déni de services ciblés, entre le 27 février et le 1er mars 2022. Crowdstrike affirme que cette technique d’attaque a déjà été utilisée dans de précédentes campagnes, comme LemonDuck ou encore WatchDog. À l’époque, elle servait à infecter des conteneurs mal configurés.
Selon les chercheurs, la première image Docker qui a été utilisée dans l’attaque DoS a été constatée dans trois des quatre incidents. Elle est aussi hébergée sur Docker Hub. Selon la société de cybersécurité, elle contient un outil d’analyse comparative HTTP qui est basé sur Go, baptisé Bombardier. Celui-ci utilise des requêtes HTTP pour lancer un test du stress sur un site web. La deuxième image contient, quant à elle, un programme DoS personnalisé qui est basé sur Go surnommé Stroppropaganda. Elle surcharge les sites web qui sont ciblés avec des requêtes HTTP GET.
Une attaque ciblant des sites officiels et médiatiques
L’attaque par déni de services déployée par la première image Docker cible surtout les sites web officiels russes et biélorusses. Elle visait ceux du gouvernement, des médias, de l’armée et de commerce de détail. Selon Crowdstrike Intelligence, le déploiement de l’image est automatisé si on se réfère aux délais de l’interaction avec l’API Docker.
De son côté, l’attaque utilisant la deuxième image Docker vise les sites de l’énergie, des mines et des finances russes et biélorusses, en plus des sites web du gouvernement et de l’armée. Crowdstrike affirme que cette deuxième image a été téléchargée plus de 50 000 fois depuis Docker Hub.
