Augmentation récente de 10 fois des cyberattaques contre l’Ukraine – Krebs on Security

Alors que leurs villes subissaient des bombardements plus intenses par les forces militaires russes cette semaine, les internautes ukrainiens ont subi de nouvelles cyberattaques, une société Internet fournissant des services dans ce pays affirmant avoir bloqué dix fois le nombre normal d’attaques de phishing et de logiciels malveillants ciblant les Ukrainiens.

Jean-Todd est directeur général de Quad9, une plateforme DNS gratuite « anycast ». DNS signifie Domain Name System, qui est comme un annuaire téléphonique distribué dans le monde entier pour Internet qui associe des noms de sites Web conviviaux (example.com) à des adresses Internet numériques (8.8.4.4.) qui sont plus faciles à gérer pour les ordinateurs. Votre ordinateur ou appareil mobile génère des recherches DNS chaque fois que vous envoyez ou recevez un e-mail, ou que vous accédez à une page Web.

Avec anycast, une adresse Internet peut s’appliquer à plusieurs serveurs, ce qui signifie que l’un des nombreux serveurs DNS peut répondre aux requêtes DNS, et généralement celui qui est géographiquement proche du client qui fait la demande fournira la réponse.

Quad9 isole ses utilisateurs d’une gamme de cyberattaques en bloquant les requêtes DNS pour les noms de domaine connus, c’est-à-dire ceux dont il est confirmé qu’ils hébergent des logiciels malveillants, des sites Web de phishing, des stalkerwares et d’autres menaces. Et normalement, le ratio de requêtes DNS provenant d’Ukraine qui sont autorisées par rapport aux requêtes bloquées par Quad9 est assez constant.

Mais Todd dit que le 9 mars, les systèmes de Quad9 ont bloqué 10 fois le nombre normal de requêtes DNS provenant d’Ukraine et, dans une moindre mesure, de Pologne.

Todd a déclaré que Quad9 a vu une baisse significative du trafic atteignant son POP de Kiev [point of presence] pendant les hostilités, probablement en raison de coupures de fibre ou de problèmes d’alimentation. Une partie de ce trafic s’est ensuite déplacée vers Varsovie, qui, pour une grande partie du réseau ukrainien, est le prochain site d’interconnexion important le plus proche.

Point de vue de Quad9 sur un pic de trafic malveillant ciblant les utilisateurs ukrainiens cette semaine. Cliquez pour agrandir.

“Alors que notre trafic global a chuté à Kiev – et légèrement augmenté à Varsovie en raison de problèmes d’infrastructure à l’intérieur de .ua – le ratio de (bonnes requêtes) : (requêtes bloquées) a augmenté dans les deux villes”, a-t-il poursuivi. “Le pic de ce ratio de blocage [Wednesday] l’après-midi à Kiev était d’environ 10 fois le niveau normal par rapport à d’autres villes d’Europe (Amsterdam, Francfort). Alors que l’Ukraine est toujours légèrement plus élevée (20 % environ) que l’Europe occidentale, ce saut d’ordre de grandeur est le premier.

Quad9 a refusé de quantifier davantage les données qui ont informé l’axe Y dans le graphique ci-dessus, mais a déclaré qu’il y a certains chiffres que la société est prête à partager en tant qu’absolus.

“En regardant il y a trois semaines, le même jour de la semaine qu’hier, nous avons eu 118 millions d’événements de blocage au total, dont 1,4 million en Ukraine et en Pologne”, a déclaré Todd. « L’ensemble de notre réseau a enregistré hier, le 9 mars, 121 millions d’événements de blocage, dans le monde entier. Sur ces 121 millions d’événements, 4,6 millions se sont déroulés en Ukraine et en Pologne.

Bill Bécasse est directeur général chez Chambre de compensation des paquets, une organisation à but non lucratif basée à San Francisco qui est l’un des nombreux sponsors de Quad9. Woodcock a déclaré que le pic des requêtes DNS bloquées en provenance d’Ukraine montre clairement une augmentation des attaques de phishing et de logiciels malveillants contre les Ukrainiens.

“Ils sont ciblés par une énorme quantité de phishing, et de nombreux logiciels malveillants qui pénètrent dans les machines tentent de contacter une infrastructure de commande et de contrôle malveillante”, a déclaré Woodcock.

Todd et Woodcock ont ​​tous deux déclaré que le plus petit pic de requêtes DNS bloquées en provenance de Pologne est probablement le résultat du fait qu’un si grand nombre d’Ukrainiens ont fui leur pays : sur les deux millions de personnes qui ont fui l’Ukraine depuis le début de l’invasion russe, plus de 1,4 million ont fait leur chemin vers la Pologne, selon les derniers chiffres du Les Nations Unies.

L’augmentation des activités malveillantes détectées par Quad9 est le dernier chapitre d’une série de cyberattaques en cours contre le gouvernement ukrainien et les systèmes civils depuis le début de la guerre la dernière semaine de février.

Alors que les chars et le personnel militaires russes commençaient à franchir la frontière ukrainienne le mois dernier, les experts en sécurité ont suivi une série de Attaques destructrices de « effaceurs » de données destiné aux agences gouvernementales ukrainiennes et aux réseaux de sous-traitants. Les sociétés de sécurité aussi attribuée aux services de renseignement russes une volée d’attaques par déni de service distribué (DDoS) contre les banques ukrainiennes juste avant l’invasion.

Jusqu’à présent, les cyberattaques à grande échelle tant redoutées et les représailles de la Russie ne s’est pas concrétisé (pour un contrepoint ici, voir cette pièce à partir de Le gardien). Mais les données recueillies par Quad9 suggèrent qu’un grand nombre de cyberattaques de bas niveau ciblant les Ukrainiens sont toujours en cours.

On ne sait pas dans quelle mesure – le cas échéant – les prouesses informatiques tant vantées de la Russie pourraient être contrecarrées par l’augmentation des sanctions économiques promulguées par les entreprises privées et les gouvernements. Au cours de la semaine dernière, deux principaux fournisseurs d’accès Internet de base ont déclaré qu’ils cesseraient d’acheminer le trafic vers la Russie.

Plus tôt dans la journée, le Échange Internet de Londres (LINX), l’un des plus grands points de peering où les réseaux du monde entier échangent du trafic, mentionné cela arrêterait le routage pour les fournisseurs de services Internet russes Rostelecom et MégaFon. Rostelecom est le plus grand FAI de Russie, tandis que MegaFon est le deuxième opérateur de téléphonie mobile et le troisième FAI de Russie.

Doug Madorydirecteur de recherche pour une société de surveillance des infrastructures Internet Kentika déclaré que les actions de LINX éroderont davantage la connectivité de ces grands fournisseurs russes à l’Internet plus large.

“Si les autres grandes bourses européennes emboîtaient le pas, cela pourrait être vraiment problématique pour la connectivité russe”, a déclaré Madory.

Leave a Comment