Hermetic Wiper fait partie des trois virus détectés par Microsoft au cours des dernières semaines en Ukraine. Un virus dormant aussi repéré en France sous la forme de plusieurs variants.
Microsoft a annoncé lundi 21 février 2022 avoir détecté des logiciels malveillants destructeurs en Ukraine quelques heures avant l'invasion militaire russe. Il n'est pas le seul. Plusieurs sociétés internationales de cybersécurité, comme Eset, ont détecté, au moment de l'offensive terrestre de la Russie, des attaques sur des systèmes informatiques ukrainiens au moyen de "wipers", des logiciels malveillants capable d'effacer toutes les données d'un système dans un but purement destructeur.
Il s'agit d'un virus dormant avec de nombreux variants qui le rendent difficile à détecter par des systèmes classiques de sécurité. Ce matin encore, on a découvert quatre variants
Régis Lhoste, président de Cyber-detect
"Hermetic Wiper est le plus redoutable des virus qui ont attaqué les systèmes informatiques ukrainiens" nous explique Régis Lhoste, président de Cyber-detect à Nancy (Meurthe-et-Moselle). Il ajoute : "Il s'agit d'un virus dormant avec de nombreux variants qui le rendent difficile à détecter par des systèmes classiques de sécurité. Ce matin encore, on a découvert quatre variants". Cyber-detect est spécialisé dans l'analyse morphologique des virus informatiques. Sur son compte Twitter, la société a diffusé une animation 3D de la morphologie du virus.
Hermetic Wiper détecté en France
"Il y a eu des alertes ces derniers jours. Des programmes malveillants type Wiper ont été détectés dans les systèmes de plusieurs organismes en France", nous confirme une source proche du dossier.
Un virus dormant redoutable, créé le 28 décembre 2021
Pour Régis Lohst, président de Cyber-detect : "Un "wiper" va rentrer par une faille de sécurité et s'installer dans un système. C'est un virus dormant. Sur les attaques subies par l'Ukraine, on s'est rendu compte que le wiper était en place depuis plusieurs semaines. Le principe d'un wiper est de tout écraser. Il supprime tout ce qui est présent sur le disque dur. L'objectif est clairement de paralyser les systèmes d'information en effaçant toutes les données". Régis Lhoste peut aussi nous donner sa date de création, 28 décembre 2021. Elle est inscrite dans son code source. En revanche, impossible de dire qui est le créateur.
Grâce à l’analyse morphologique, nous allons au cœur du virus reconnaître des briques, des caractéristiques de comportement. Des composants qui sont à la base du virus et donc de tous ses variants
Régis Lhoste, président de Cyber-detect
Le logiciel développé par Cyber-detect, "Gorille", permet de reconnaître le virus caché dans les systèmes, car il identifie aussi ses variants. "Nous ne travaillons pas de la façon classique, qui permet de détecter des virus uniquement par leur signature. Grâce à l’analyse morphologique, nous allons au cœur du virus reconnaître des "briques", des caractéristiques de comportement". Des composants qui sont à la base du virus et donc de tous ses variants". Un peu comme les variants du virus Sars-CoV-2 portent la même morphologie de départ avec des variations.
/regions/2022/03/01/621e484041e27_image-2-virus-hermeticwiper-avec-logo.jpg){kind=logo}
Cyber-detect est une entreprise ancrée sur de solides bases scientifiques. Elle est née au LHS, le laboratoire Haute sécurité du LORIA (CNRS, INRIA, Université de Lorraine). Un lieu où les chercheurs surveillent les virus sur tout l’internet. Ils les attirent dans leurs filets pour mieux les analyser.
"Pour nos clients, le plus intéressant est la détection et la caractérisation des variants. La visualisation est là pour montrer quelles sont ses représentations. Et pour comprendre que les variants ont la même forme morphologique que le virus "souche"". Pour les jours, les semaines et les mois à venir, Régis Lhoste s’attend à découvrir d’autres variants. "Il faut s’attendre à voir apparaître des dizaines de variants. On peut même imaginer que chaque cible sera attaquée par un variant différent". Le virus étant dormant, potentiellement, il peut être n’importe où. Cyber-Detect est en train de vérifier tous les systèmes de ses clients, grands comptes et grandes entreprises.
Hermetic Wiper perturbe le passage des réfugiés entre l'Ukraine et la Roumanie
Le site américain Venturebeat, spécialisé dans les informations sur les nouvelles technologies, rapporte que ces attaques ont déjà eu des conséquences. Il mentionne un exemple à la frontière entre l'Ukraine et la Roumanie qui a eu pour effet de ralentir le passage des réfugiés.
Précédent l’invasion russe en Ukraine, à la mi-janvier, d’après l’AFP, Microsoft avertissait déjà l’Ukraine que "la cyberattaque massive subie par les ministères et sites gouvernementaux ukrainiens pourrait rendre toute la structure informatique du gouvernement inopérable".
"Le logiciel malveillant (malware), qui ressemble à un rançongiciel, mais n'a pas de mécanisme de récupération de la rançon, vise à détruire et à rendre inopérables les sites visés, et non pas à récupérer une rançon", a déclaré le géant américain des logiciels dans un post sur son blog.
De plus, l'attaque semble avoir visé plus d'organismes qu'on ne le pensait initialement, selon Microsoft. "Nous avons trouvé ce logiciel malveillant sur des dizaines de systèmes appartenant au gouvernement, mais aussi à des ONG et à des organisations d'informations technologiques, toutes basées en Ukraine. À ce stade, nous ne pouvons dire quel est le cycle opérationnel de cette attaque, ni combien d'autres organisations peuvent en être victimes", a ajouté la compagnie.
Sur son site internet, le "cyber peace institute", une "organisation non gouvernementale indépendante et neutre dont la mission est de garantir les droits des personnes à la sécurité, à la dignité et à l'équité dans le cyberespace", basée en Suisse, a mis en ligne des informations sur la chronologie des cyber-attaques sur l'Ukraine.
L'agence chargée de la sécurité informatique française, l'ANSSI, a souligné "qu'aucune cybermenace visant les organisations françaises en lien avec les récents événements n'a pour l'instant été détectée", mais a précisé suivre "la situation de près".
