Avertissement : Le rythme des opérations militaires en Ukraine, ainsi que les réactions internationales, entraînent des évolutions très rapides de la situation. En outre, de nombreuses informations circulant en ligne sont invérifiées. Les éléments présentés ne doivent pas être considérés comme exhaustifs et peuvent être obsolètes au moment de leur lecture. L’ANSSI s’efforcera de mettre à jour de manière régulière cette section en fonction de l’évolution de la situation.

Les tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie s’accompagnent d’effets dans le cyberespace. Si les combats en Ukraine sont principalement conventionnels, l’ANSSI constate l’usage de cyberattaques dans le cadre du conflit. Dans un espace numérique sans frontières, ces cyberattaques peuvent affecter des entités françaises et il convient sans céder à la panique de l’anticiper et de s’y préparer. Aussi, afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’ANSSI partage des bonnes pratiques de sécurité ainsi que des éléments sur la menace et invite l’ensemble des acteurs à s’en saisir. A cette fin, ce bulletin centralise et diffuse les éléments d’intérêt cyber en lien avec le contexte actuel pour favoriser le renforcement du niveau de protection de l’ensemble des entités françaises. Il sera mis à jour régulièrement.

État de la menace

Depuis le 23 février 2022, soit la veille du déclenchement de l’opération militaire russe en Ukraine, des cyberattaques assez diverses ont été constatées :

  • Des attaques par déni de service distribué (DDoS) qui auraient notamment visé les sites d’institutions gouvernementales et également de banques ukrainiennes. Des groupes hackvitistes, dont certains répondant à l’appel du gouvernement ukrainien, ont également conduit des attaques par déni de service distribué à l’encontre de cibles russes ;
  • Des défigurations de sites internet en Ukraine, en Russie et en Biélorussie ;
  • Des tentatives d’intrusion sur les messageries électroniques avec du hameçonnage ciblé d’institutions ou des forces armées ukrainiennes ont été rapportées ;
  • Des cyberattaques avec des codes malveillants de sabotage (wiper) ont été identifiées. Ces actions, les plus destructrices, semblent parfois avoir été précédées par des exfiltrations de données.

Les motivations des cyberattaques contre l’Ukraine correspondent aux objectifs militaires russes allant de la perturbation des services ukrainiens à l’influence du traitement médiatique du conflit en Ukraine. Les attaques à des fins d’espionnage stratégique par des groupes d’attaquants pro-russes (présumés russes, biélorusses ou affiliés aux séparatistes soutenus par la Russie) se poursuivront très probablement en Ukraine, tout comme les actions de sabotage.

Si ces cyberattaques ont des impacts limités en France et en Europe pour le moment, la menace informatique contre les systèmes d’information européens reste élevée. Des groupes d’attaquants liés à la Russie continueront très probablement de cibler des entités gouvernementales et diplomatiques pour des opérations de renseignement stratégique ; ils pourraient en outre conduire des actions de représailles contre les sanctions décidées par l’Union Européenne.

De surcroît, des activités hacktivistes ont été constatées. Si leurs conséquences semblent limitées, elles ne doivent pas être sous-estimées, de telles attaques pouvant provoquer l’indisponibilité de ressources sensibles ou porter atteinte à l’image d’institutions publiques ou privées. Des groupes hacktivistes ont notamment ciblé les sites d’entreprises européennes n’ayant pas annoncé leur retrait du marché russe. [mise à jour du 16 mai 2022] Il a ainsi été constaté en Europe une recrudescence des activités de ces acteurs, comme le groupe Killnet, qui conduisent des attaques par déni de service distribué (DDoS) dans le but de rendre indisponible un site web pour déstabiliser les activités et nuire à la réputation des entités ciblées. Jusqu’à aujourd’hui, ces attaques sont de faible intensité car leur persistance est limitée et leur remédiation rapide. Il convient toutefois de s’en prémunir et l’ANSSI invite donc à la mise en œuvre ou au renforcement des moyens anti-DDoS ainsi qu’à la définition de mesures réactives en cas de détection de telles attaques.

Ces activités malveillantes pourraient affecter directement ou par rebond des entités françaises. Les entreprises françaises ayant des filiales en Ukraine ou en Russie sont évidemment particulièrement exposées à ce risque et doivent donc se montrer vigilantes.

Des acteurs offensifs non liés directement aux parties en conflit ont d’ores et déjà tenté d’exploiter la situation de façon opportuniste pour mener des actions d’hameçonnage ciblé ou d’escroquerie. Les courriels ou messages non sollicités évoquant la question de l’accueil des réfugiés ukrainiens ou toute autre thématique en lien avec la situation en Ukraine doivent donc faire l’objet d’une prudence renforcée.

Enfin, une partie de l’écosystème cybercriminel russophone s’est positionné dans le conflit en cours, le groupe cybercriminel Conti apportant par exemple son soutien au gouvernement russe. D’autres groupes ont toutefois déclaré rester neutres, se focalisant uniquement sur des objectifs lucratifs. Enfin, des cybercriminels ont déclaré souhaiter et être en mesure de cibler des infrastructures critiques russes. Cette division de l’écosystème cybercriminel combiné à d’éventuels effets d’aubaine incitent à la prudence en cas de cyberattaques, qui ne sauraient être interprétées trop rapidement comme une action commanditée dans le cadre du conflit.

Vulnérabilités

De nombreux incidents observés par l’ANSSI au cours de l’année 2021 présentent un lien avec l’exploitation d’une vulnérabilité ayant fait préalablement l’objet de publications d’avis ou d’alertes sur le site du CERT-FR, parfois accompagnées de campagnes de signalement. L’ANSSI recommande donc d’appliquer le plus tôt possible les correctifs de sécurité idoines publiés par les éditeurs, notamment ceux permettant de corriger des vulnérabilités sur des solutions exposées sur Internet et rendant possible une primo-intrusion ou ayant un impact critique sur le système d’information dans son ensemble. À cet égard, le document suivant propose une analyse des vulnérabilités les plus critiques traitées par l’ANSSI au cours de l’année 2021 :

Étant donné le contexte actuel et alors que les vulnérabilités sont exploitées de manière de plus en plus rapide par les attaquants, l’ANSSI recommande en parallèle de renforcer les activités de traitement des vulnérabilités (veille, identification, application des mesures de correction) afin d’assurer le meilleur niveau possible de sécurisation des systèmes.

La gestion des vulnérabilités est indispensable au maintien en condition de sécurité des systèmes d’information, et dépasse le cadre des vulnérabilités mentionnées dans le « top 10 des vulnérabilités de 2021 ».

À titre d’exemple, l’ANSSI a connaissance d’exploitations ou de tentatives d’exploitation des vulnérabilités de la liste suivante par des modes opératoires liés à la Russie. L’ANSSI recommande fortement de se protéger en priorité contre ces vulnérabilités identifiées comme critiques et pouvant être utilisées pour l’accès initial à un système d’information.

Cette liste n’est pas exhaustive et est susceptible d’être mise à jour. En particulier, l’ANSSI rappelle que l’application des correctifs de sécurité ne doit pas se limiter à ces seules vulnérabilités.

Pour certaines vulnérabilités, des règles de détection au format Sigma, conçues et qualifiées par l’ANSSI, sont mises à disposition. Des mesures de détection publiquement disponibles sont également fournies à titre indicatif mais n’ont pas fait l’objet d’une qualification par l’ANSSI.

Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Publications CERT-FR Avis éditeur Moyens de détection publiés par l’ANSSI Moyens de détection (non qualifiés par l’ANSSI)
Microsoft Exchange CVE-2021-34473 9.8 Exécution de code arbitraire à distance 13/07/2021 OUI CERTFR-2021-ALE-017 CVE-2021-34473 Règle Sigma ANSSI : ProxyShell ProxyLogon Règle Sigma : ProxyShell
Microsoft Exchange CVE-2021-34523 9.8 Exécution de code arbitraire à distance 13/07/2021 OUI CERTFR-2021-ALE-017 CVE-2021-34523 Règle Sigma ANSSI : ProxyShell ProxyLogon Règle Sigma : ProxyShell
Microsoft Exchange CVE-2021-31207 7.2 Exécution de code arbitraire à distance 11/05/2021 OUI CERTFR-2021-ALE-017 CVE-2021-31207 Règle Sigma ANSSI : ProxyShell ProxyLogon Règle Sigma : ProxyShell
Microsoft Exchange CVE-2021-31206 8.0 Exécution de code arbitraire à distance 13/07/2021 OUI CERTFR-2022-AVI-522 CVE-2021-31206 Règle Sigma : ProxyShell
October OctoberCMS CVE-2021-32648 9.1 Contournement de la politique de sécurité 30/08/2021 OUI GHSA-mxr5-mc97-63rc
Fortinet VPN SSL CVE-2018-13379 9.8 Contournement de la politique de sécurité 24/05/2019 OUI CERTFR-2020-ALE-025 FG-IR-18-384 Règle Sigma pour CVE-2018-13379
Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN CVE-2019-1653 7.5 Atteinte à la confidentialité 23/01/2019 OUI cisco-sa-20190123-rv-info
Oracle WebLogic CVE-2019-2725 9.8 Exécution de code arbitraire à distance 26/04/2019 OUI CERTFR-2019-AVI-189 alert-cve-2019-2725
Elastic Kibana CVE-2019-7609 10 Exécution de code arbitraire à distance 19/02/2019 OUI 169077
Zimbra Zimbra CVE-2019-9670 9.8 Exécution de code arbitraire à distance 08/03/2019 OUI 109129
Exim Exim CVE-2019-10149 9.8 Exécution de code arbitraire à distance 05/06/2019 OUI CERTFR-2019-ALE-009 CVE-2019-10149
Pulse Connect Secure CVE-2019-11510 10 Exécution de code arbitraire à distance 24/04/2019 OUI CERTFR-2021-ACT-008 SA44101 Règle Sigma pour CVE-2019-11510
Citrix Application Delivery Controller (ADC) et Gateway CVE-2019-19781 9.8 Exécution de code arbitraire à distance 17/12/2019 OUI CERTFR-2020-ALE-002 CTX267027 Règle Sigma pour CVE-2019-19781
Microsoft Exchange CVE-2020-0688 8.8 Exécution de code arbitraire à distance 11/02/2020 OUI CERTFR-2020-ALE-007 CVE-2020-0688 Règle Sigma pour CVE-2020-0688
VMware Workspace One Access, Access Connector, Identity Manager et Identity Manager Connector CVE-2020-4006 9.1 Exécution de code arbitraire à distance 23/11/2020 OUI CERTFR-2020-ALE-024 VMSA-2020-0027.html
F5 BigIP CVE-2020-5902 9.8 Exécution de code arbitraire à distance 01/07/2020 OUI CERTFR-2020-ALE-015 K52145254 Règle Sigma pour CVE-2020-5902
Oracle Weblogic CVE-2020-14882 9.8 Exécution de code arbitraire à distance 20/10/2020 OUI CERTFR-2020-ALE-022 CPUOct2020 Règle Sigma pour CVE-2020-14882
Microsoft Exchange CVE-2021-26855 9.8 Exécution de code arbitraire à distance 02/03/2021 OUI CERTFR-2021-ALE-004 CVE-2021-26855 Règle Sigma pour CVE-2021-26858
Microsoft Office CVE-2017-11882 7.8 Exécution de code arbitraire 14/11/2017 OUI CERTFR-2017-AVI-408 CVE-2017-11882 Règle Sigma pour CVE-2017-11882
Microsoft Exchange CVE-2021-27065 7.8 Exécution de code arbitraire à distance 02/03/2021 OUI CERTFR-2021-ALE-004 CVE-2021-27065 Règle Sigma ANSSI : ProxyShell ProxyLogon

 

Bonnes pratiques

Utilisation d’outils numériques liés à la Russie

Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie. A ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. Des précautions élémentaires doivent cependant être prises :

  • La déconnexion d’outils de cybersécurité dans un contexte de tensions dans le cyberespace et de cybercriminalité exacerbée peut fragiliser significativement la cybersécurité de votre organisation. Aussi, sans solution de substitution, cette déconnexion ne saurait être préconisée.
  • L’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie peut affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. A moyen-terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée.

Éléments techniques

Avertissement : Les marqueurs partagés par l’ANSSI proviennent d’éléments disponibles en sources ouvertes et ont vocation à fournir de la connaissance technique de base en lien avec la menace et être utilisés à des fins de détection et de protection. Ils ont fait l’objet d’une première qualification par l’ANSSI mais doivent néanmoins être manipulés avec précaution.

Certains marqueurs correspondent à des infrastructures légitimes compromises par des attaquants et doivent être utilisés avec précaution :

  • toute détection à partir de ces éléments ne constitue pas nécessairement une preuve de compromission et doit être analysée afin de lever le doute ;
  • d’une manière générale, ces marqueurs doivent être utilisés pour de la supervision plutôt que des actions de blocage.

Cette liste n’est pas exhaustive et sera mise à jour de manière régulière en fonction de l’évolution de la situation.

 

Nobelium :

https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-010/

TÉLÉCHARGER LES MARQUEURS (JSON MISP)
🇬🇧 DOWNLOAD IOCs (JSON MISP)

TÉLÉCHARGER LES MARQUEURS (CSV MISP)
🇬🇧 DOWNLOAD IOCs (CSV MISP)

NCSC-UK/CISA :

https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter

TÉLÉCHARGER LES MARQUEURS (JSON MISP)
🇬🇧 DOWNLOAD IOCs (JSON MISP)

TÉLÉCHARGER LES MARQUEURS (CSV MISP)
🇬🇧 DOWNLOAD IOCs (CSV MISP)

ESET :

https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/

TÉLÉCHARGER LES MARQUEURS (JSON MISP)
🇬🇧 DOWNLOAD IOCs (JSON MISP)

TÉLÉCHARGER LES MARQUEURS (CSV MISP)
🇬🇧 DOWNLOAD IOCs (CSV MISP)