Connect with us

Technologie

Le botnet DDoS Zhadnost déployé contre la Finlande

Published

on


Une attaque par déni de service distribué (DDoS) contre les sites Web du ministère finlandais des Affaires étrangères et du ministère de la Défense était l’œuvre d’un botnet récemment découvert baptisé Zhadnost, et a probablement été orchestrée par des acteurs russes ou pro-russes, selon les chercheurs sur les menaces SecurityScorecard (SSC).

La cyberattaque a eu lieu le vendredi 8 avril, au moment même où le président ukrainien Volodymyr Zelensky prononçait une adresse virtuelle aux membres du parlement finlandais, et quelques heures seulement après une violation présumée de l’espace aérien finlandais par un avion russe Iliouchine IL-96-300 – on ne sait pas s’il s’agissait d’un avion militaire, bien que le gouvernement russe soit connu pour utiliser ce modèle en tant que tel.

Les analystes de SPC ont constaté que la cyberattaque a été soutenue sur une période de quatre heures et a été lancée à partir de plus de 350 adresses IP uniques du monde entier, mais principalement par des robots situés au Bangladesh et en Afrique. La majorité d’entre eux, 82%, étaient des routeurs MikroTik – MikroTik est un fabricant basé en Lettonie de matériel de routage et de pare-feu axé sur les marchés émergents – le reste étant un mélange d’appareils exécutant Apache, Squid Proxy et Caddy Server.

Ryan Slaney de SPC a déclaré que les routeurs MikroTik contiennent malheureusement une « foule de vulnérabilités » qui font de sa base installée un outil particulièrement utile pour les acteurs de la menace. On pense qu’il y a environ 875 000 unités déployées, ce qui représente potentiellement un « nombre presque infini » de robots, a-t-il déclaré.

« La composition de ces bots est presque identique à celle du botnet Zhadnost, qui était responsable de trois attaques DDoS distinctes contre le gouvernement ukrainien et les sites Web financiers avant et peu de temps après l’invasion russe de l’Ukraine », a écrit Slaney dans un avis de divulgation.

« L’attaque de la Finlande est identique à la première attaque de l’Ukraine, qui a eu lieu le 15 février. Les deux attaques consistaient en une inondation HTTPS et s’appuyaient sur des appareils MikroTik, Squid Proxy et Apache pour mener l’attaque.

« Avec l’ajout des plus de 350 bots que nous avons identifiés dans cette campagne, SSC est maintenant au courant de près de 3 350 bots qui composent le botnet Zhadnost. »

L’un des effets secondaires de la guerre du président russe Vladimir Poutine contre l’Ukraine a été de solidifier l’alliance occidentale de l’OTAN et de pousser des pays auparavant neutres, dont la Finlande et la Suède, vers une adhésion accélérée à l’alliance. Garder ces deux pays en dehors de l’OTAN est depuis longtemps un objectif de la politique étrangère de la Russie.

SPC estime que la cyberattaque a été motivée par la poursuite de l’adhésion de la Finlande à l’OTAN et estime avec une confiance modérée qu’il s’agissait de l’œuvre d’un acteur lié à la Russie, bien qu’elle se soit abstenue de toute attribution précise.

L’attaque a eu peu d’impact durable et les deux sites Web ont été rapidement restaurés. SPC croit que l’opérateur du botnet était probablement au courant de cela et qu’il s’agissait davantage d’une flexion des muscles que d’une tentative de causer des dommages durables.

Néanmoins, Slaney a suggéré que l’attaque DDoS contre le gouvernement finlandais pourrait annoncer d’autres actions en fonction de la manière dont l’adhésion proposée par la Finlande à l’OTAN se déroulera. Il a déclaré: « Sur la base de l’histoire antérieure des attaques russes, le prochain jeu dans le manuel des acteurs russes de la cybermenace serait le déploiement d’attaques de type essuie-glace, éventuellement contre des infrastructures critiques et des cibles gouvernementales. »

SPC met à disposition des IoC associés au botnet Zhadnost sur demande – plus de détails sont disponibles sur son blog.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance