• Perspective
Publié le 11 mars 2022

La guerre cyber : analyse rétrospective de l'un des virus les plus dangereux du moment, le HermeticWiper

Nous assistons, depuis quelques années, à la mise en place de plusieurs initiatives lancées par la France dans le cadre de sa stratégie nationale pour la cybersécurité ayant deux objectifs primordiaux :

  • Faire face aux menaces inhérentes à la transition numérique de la société et de l'économie (exemple : le programme France Relance)
  • Faire émerger des champions français de la cybersécurité (exemple : le Campus Cyber)

En effet, la cybersécurité n'est plus aujourd'hui une couche additionnelle que nous ajoutons à la fin d'un projet ou que nous analysons de temps en temps, elle est devenue une partie inhérente de tout contact avec le monde numérique. Peu importe l'âge, la profession ou le mode d'interaction avec la technologie, le sujet nous concerne tous.

La sensibilisation des entreprises et des particuliers sur les impacts des attaques et les bonnes pratiques de sécurité est un grand défi encore à l'heure actuelle, et malheureusement cette sensibilisation est trop souvent acquise après avoir souffert des conséquences d'une vraie attaque.

Dans le contexte des récents évènements opposant l’Ukraine à la Russie, nos équipes se sont intéressées à la cyberguerre subie par l’Ukraine ces derniers jours. En effet, en raison de l’expansion phénoménale du numérique ces dernières années, l’Ukraine est, comme beaucoup de pays, fortement dépendante de ses structures informatisées.

Peu de temps avant l’invasion de l’Ukraine par la Russie, l’Ukraine a connu une vague de cyberattaques ayant pour but de paralyser le pays. Parmi l’ensemble des attaques révélées, un virus informatique a émergé. Ce dernier se nomme : « HermeticWiper », et il est particulièrement dangereux. En effet, il utilise des techniques détournant les différents mécanismes de protection afin d’infecter son hôte.

En tant que cabinet de conseil en cybersécurité & performance du SI, nos équipes reviennent sur son fonctionnement, les risques qu’il comporte ainsi que les bonnes pratiques pour se prémunir de ce type d’attaques.

Tweet de la société ESET

Avant toute chose, il est important de rappeler que, malgré la dangerosité de ce virus, une condition sine qua non pour que ce virus infecte un système est la présence d’une faille de sécurité. Pour rappel, une faille peut être humaine (une technique évidente de faille humaine est l’hameçonnage, ou plus généralement l’ingénierie sociale) aussi bien que  logicielle (défaut de configuration d'un serveur web, utilisation de composants obsolètes, etc.).

Commençons tout d’abord par comprendre l'étymologie de ce logiciel malveillant. HermeticWiper est composé de deux mots :

  • "Hermetic" vient de la société Hermetica Digital Ltd dont le certificat préalablement dérobé a été utilisé afin de signer le logiciel. Grâce à ce certificat, HermeticWiper est identifié par les différents antivirus comme un logiciel officiel délivré par la société susmentionnée. Cela revient à une autorisation pour HermeticWiper d’être déployé sur le système victime et ainsi causer les dommages irréversibles que nous allons détailler. Lorsqu’une application est signée par une autorité reconnue, cela signifie que cette autorité garantit la provenance et le bon fonctionnement de cette application. Malgré son caractère dangereux, HermeticWiper est garanti par la société Hermetica Digital Ltd comme logiciel sûr pouvant être exécuté sur le système en toute sécurité.
  • "Wiper" indique la catégorie de virus à laquelle HermeticWiper appartient. Cette famille de malware a pour objectif principal d’effacer les données contenues sur les disques durs du matériel infecté.

De surcroît, HermeticWiper est ce que nous appelons un virus dormant. Pour être plus précis, il agit très lentement afin de gagner en discrétion. Enfin, pour ne rien arranger, ce Wiper est remarquable pour sa capacité à contourner les fonctionnalités de sécurité de Windows et à accéder avec des droits d'écriture à de nombreuses structures de données de bas niveau sur le disque.

Afin d’effacer le contenu du disque dur, HermeticWiper commence par découper les différents fichiers en petits blocs ou encore partitions. Cependant, cette technique seule n’est pas totalement irréversible. En effet, certains experts en analyse forensic sont capables de reconstituer des fichiers à partir des résidus générés après partition. Notons toutefois que le résultat n’est pas garanti, que le temps demandé pour reconstituer un fichier est long et enfin que seule une poignée d’experts est aujourd’hui capable d'une telle prouesse technique.

De par sa potentielle réversibilité, les développeurs d'HermeticWiper ont eu recourt à une technique supplémentaire, vieille comme le monde, consistant à réécrire par-dessus les données partitionnées avec des séquences de bits aléatoires afin de rendre irrécupérable les données effacées.

Le tweet suivant illustre de façon simplifiée le processus logique de HermeticWiper :

Tweet de Thomas Roccia

Voici un résumé du schéma logique de l’exécution de HermeticWiper :

  • Tout d’abord, il entre en contact avec le système en empruntant une faille de sécurité.
  • Ensuite, il télécharge la charge active.
  • Grâce à son certificat officiel, il s’exécute sans blocage sur le système Windows
  • Il recherche un scénario pour monter en privilège et obtient suffisamment de droits pour écrire sur l’ensemble du disque.
  • Il identifie par la suite les différents fichiers du système.
  • Il commence par corrompre les données utilisateur.
  • Puis vient le tour des fonctions du système.
  • Enfin, il redémarre la machine, mettant effectivement fin à la vie de cette dernière.

Il est important de noter que ce processus est lent. Comme mentionné précédemment, HermeticWiper est un virus dormant. Afin d’échapper aux divers mécanismes de contrôles, chaque étape est lente et discrète. Si vous remarquez des fichiers corrompus, il n’est pas trop tard pour sauver le système en investiguant et supprimant cette menace.

De nombreuses équipes de chercheurs tentent de découvrir les mystères de ce virus. La technique la plus répandue en recherche virale informatique consiste en l’identification de la structure de ce dernier. En effet, tout comme en chimie moléculaire, comprendre la structure d’un virus informatique permet d’isoler des comportements dangereux. Une fois les séquences identifiées, les données recueillies permettent d’enrichir la base virale des différents antivirus afin de leur apprendre à se défendre en cas d’attaque. Cela suit le même schéma que pour le processus de création de vaccins.

Finalement, l'équipe de chercheurs français « Cyber-detect » a réussi à isoler la structure de HermeticWiper et a publié ses travaux le 28 février :

Tweet de Cyber-Detect

Il existe cependant de nombreux variants de ce virus, et malheureusement, aucune solution stable n’a été apportée à ce jour pour garantir une protection totale contre la menace que représente HermeticWiper. La meilleure défense consiste donc, comme toujours, à sensibiliser ses employés sur l'hygiène informatique, à surveiller les comportements étranges de son SI (comme la corruption de fichiers), à suivre les actualités cyber, et bien sûr à faire des sauvegardes régulières des données critiques !

Auteurs : Florian Hoff et Raquel Garcia Frutos

Références

https://blog.malwarebytes.com/threat-intelligence/2022/03/hermeticwiper-a-detailed-analysis-of-the-destructive-malware-that-targeted-ukraine/

https://france3-regions.francetvinfo.fr/grand-est/meurthe-et-moselle/nancy/guerre-en-ukraine-hermeticwiper-un-redoutable-virus-informatique-detecte-en-france-apres-s-etre-attaque-aux-administrations-ukrainiennes-2479702.html

https://www.economie.gouv.fr/cybersecurite-renforcement-gouvernement-protection-citoyens-administrations-entreprises

https://www.ssi.gouv.fr/particulier/actualite/lanssi-engagee-pour-promouvoir-la-souverainete-numerique-de-lue-lors-de-la-pfue/

 

 

 

Article rédigé par
La Minute Cyber