Russie-Ukraine : sanctions et mesures commerciales, Lapsus$, Liberator, Stormous… l’actualité cyber-sécuritaire, le 10 Mars 2022 ! (au nom de la “paix”…)

Actualités, Internet, Le condensé, Sécurité

Conflit toujours en cours entre la Russie et l’Ukraine, l’actualité cyber-sécuritaire, en marge des multiples offensives essuyées en Ukraine, est loin de désemplir : résumé des dernières informations à ce sujet et concernant uniquement les deux pays.

Comme d’habitude, ces informations, bien que sous-pesées par de nombreux spécialistes sécuritaires aguerris, reste, suivant les opinions ou mentalités dégagées, à considérer avec prudence :

Actualité sécuritaire

Par groupe et / ou cyber-menace, un résumé de CyberKnow est proposé, selon l’actualisation-donnée au 8 Mars 2022 ;

Les cyber-attaquants Lapsus$ seraient en période de recrutement : selon DarkFeed, des salariés ou indicateurs en interne-entreprise ou entité sont recherché pour permettre d’établir un lien illégitime depuis un VPN ou un accès-réseau Citrix. En addition et après la mise à nue de données issues de Nvidia (1 To, au total), le cyber-groupe revendique une ex-filtration, cette fois, issue de Samsung, selon les captures-écran relayées depuis la chaîne Telegram des cyber-attaquants. D’une teneur totale de 200 Go de données, cette brèche inclue le code entier et source-code des authentifications bio-métriques, le code-source bootloader “pour les tout les terminaux Samsung récents” (y compris Knox Security…) et d’autres données “diverses” telles que le code-source “confidentiel” de Qualcomm. Toujours selon les dires des cyber-attaquants, il serait question, sous peu, de dévoiler les codes-source de Vodafone (5 000 dépôts GitHubs environ – 200 Go de données), Impresa (base de données + code-source) et Mercado (Libre, Pago – 24 000 dépôts du code-source). Dans le cadre de propos officiels de Samsung relayés par SamMobile au 7 Mars 2022, aucune donnée personnelle internes (consommateur + employé) ne serait compromise ;

Mise en lumière par les équipes de TalosIntelligence (Cisco) de Liberator, un malware-outil pour opérer une cyber-attaque par DDoS. Celui-ci ciblerait essentiellement les ukrainiens en quête de cyber-outils à diffuser – viralement – vers le réseau russe. En réalité, le fichier ZIP (qui revendique une libération de l’Ukraine, d’où le nom donné par les chercheurs sécuritaires), issu d’une chaîne Telegram, recèle un dropper extracteur de données (info-stealer, ici, sous l’appellation Disbalancer.exe) sous ASProtect et intègre un fichier exécutable (regsvcs.exe). Il semble être distribué, au moins, depuis Novembre 2021 et serait issu, selon les données-IPs relatives, de la Russie (port 6666) ;

Stormous : le cyber-groupe œuvrant pour le ransomware du même nom aurait, depuis Telegram (via une chaîne signalée – information à confirmer) affirmé certains points, concernant le conflit actuellement en cours entre la Russie et l’Ukraine : “nous attaquons quiconque nous attaque […] si ces attaques en Russie cessent, nous arrêtons aussi“. A cela s’ajouter une autre prise de parole : Stormous aurait ex-filtré 200 Go de données issues d’Epic Games, depuis le 7 Mars 2022. Noms, Pseudos, mails, mots de passe, informations salariales (dont les photos personnelles” ainsi que le code-source Unreal Engine. Pour l’heure, il est annoncé la mise en ligne prochaine d’un site dédié à ces brèches sécuritaires.

Actions ou mesures de blocage, suspension ou suppression contre la Russie

SIE (Sony Interactive Entertainment) : suspension des livraisons (jeux vidéos, consoles et accessoires PlayStation – les derniers-né, y compris Gran Turismo 7) en Russie, en plus des fermetures de boutiques physiques, sur place. En addition de ces restrictions et pour “appeler à la paix en Ukraine“, notamment sur le plan humanitaire, une donation de 2 M de dollars USD a été versé aux Nations Unies (Haut-Commissaire) pour le fonds des réfugiés (UNHCR) et en faveur de l’ONG Save the Children ;

Apple : toujours au nom de la paix ou pour tout ceux “qui partout dans le monde appellent la paix“, l’entreprise américaine soutient les sanctions ou mesures à l’encontre de la Russie en suspendant, également, les ventes et produits en Russie (y compris les boutiques physiques), depuis la semaine précédant l’annonce, le 1er Mars 2022. En appui aux arrêts (site + comptes sociaux) de RTNews et SputnikNews, l’éditeur a supprimé les applications mobiles de l’ApStore. “Et nous avons désactivé à la fois le trafic et les incidents en direct dans Apple Maps en Ukraine par mesure de sécurité et de précaution pour les citoyens ukrainiens”, est-il ajouté dans le communiqué, relayé par TechCrunch ;

Amazon : suspension des ventes et des solutions en ligne dont AWS (Business) ;

AMD : suspension des ventes en Russie ;

Intel : suspension des ventes en Russie ;

Google : de multiples veilles sécuritaires sur des cyber-attaques essuyées (dont DDoS) via, notamment des rapports réguliers émanant de l’équipe Threat Analysis Group (TAG) de Google. Des cyber-groupes tels que FancyBear, Ghostwriter auraient participé au ciblage de l’Ukraine, selon le communiqué officiel. D’autres actions ou fonctionnalités ont été entreprises : suppression des frais d’appel (Ukraine) via Google Voice, re-mise en lumière de l’application Alarme ukrainienne pour le signalement de raids aériens (Google Play Store), désactivation de Google Maps en direct pour “aider à protéger la sécurité des communautés locales et de leurs citoyens“, suppression de RTNews et SputnikNews des résultats-requêtes (Google Search) selon le “règlement (UE) 2022 / 350 du Conseil d’Etat de l’UE“, suspension des activités commerciales en Russie (y compris les annonces publicitaires et les services de monétisation sur Youtube ou encore les nouvelles inscriptions depuis le Cloud). Enfin, une donation de 10 M de dollars USD a été faite par l’entreprise américaine, ramenant le montant total donné, pour l’heure, à 25 M de dollars USD ;

Nintendo : en plus d’un report du jeu vidéo Re-BootCamp (sortie initiale : 8 Avril 2022) sous Switch, l’éditeur a confirmé suspendre les livraisons de produits vers la Russie ainsi que les transactions depuis l’eShop, toujours à l’encontre de la Russie ;

CD Projekt Red : suspension des ventes de jeux vidéos en Russie et Biélo-Russie, y compris les contenus numériques (ce qui englobe la plate-forme GOG). “Nous savons que des acteurs en Russie et en Biélorussie, des individus qui n’ont rien à voir avec l’invasion de l’Ukraine, seront touchés par cette décision, mais avec cette action, nous souhaitons galvaniser davantage la communauté mondiale pour parler de ce qui se passe au cœur de l’Europe“, est-il communiqué ;

Samsung : suspension des activités commerciales en Russie ;

Electronic Arts : suspension des ventes de jeux vidéos en Russie et Biélo-Russie, y compris les contenus numériques qui seront retirés dans ces pays ;

Meta : également de multiples actions et mesures en faveur de l’Ukraine via des facilités depuis des applications mobiles ou les services du groupe (Instagram, WhatsApp). Une nuance est apporté, toutefois, par le groupe qui permet aux citoyens ukrainiens et russes de pouvoir être logiciellement appuyés avec outils ou raccourcis-liens en ligne, puisque le conflit, pour l’heure et actuellement, impacte, bien évidemment, les ukrainiens en première ligne mais, aussi, démocratiquement et politiquement, les citoyens russes dont une partie continuent à revendiquer leur opinion à travers des manifestations. Pour ces raisons, Meta indique qu’Instragram et Facebook permettent désormais de masquer certaines informations-compte – pour ces deux pays, donc – pour limiter d’éventuels yeux indiscrets. Au niveau européen et anglais, RTNews et Sputnik sont coupés en accessibilité-contenu, du réseau social Facebook. 15 M de dollars USD ont été donnés pour l’Ukraine dont 10 M de dollars USD en tant que fonds à des ONGs pour l’Ukraine et les “contrées voisines“. Enfin et parmi les nombreuses autres mesures, un numéro d’assistance Health Alert (+41 79 893 18 92 – OMS, WHO en anglais) été mis en place et peut se partager rapidement sous WhatsApp en envoyant un “salut” ;

Instagram : l’éditeur rattaché à la maison-mère Meta rejoint les propos de l’entreprise américaine. “Nous n’avons pas de bureau en Russie et nous avons arrêté toute publicité en Russie, en Biélorussie et en Ukraine. Nous arrêtons les ventes de publicité à toutes les entités russes et biélorusses et respectons toutes les sanctions visant les entreprises et les particuliers russes. Nous n’acceptons pas les revenus des entités publiques russes. Nous continuons à proposer l’application Snapchat en Ukraine, en Biélorussie et en Russie car elle reste un outil de communication important pour la famille et les amis […] Il s’agit d’un conflit dévastateur aux conséquences profondes, et nous savons que les jours et les semaines à venir seront difficiles” ;

Microsoft : même son de cloche pour la firme américaine qui observe le cyber-front via son équipe MSTIC (Microsoft Threat Intelligence Center), notamment, avec la mise en lumière de malwares (dont FoxBlade estimé, en terme de dangerosité et d’étendue, à NotPetya (2017)). RTNews et Sputnik sont également supprimés des services de Microsoft (Start, y compris MSN, Bing ou encore via la boutique d’applications du Store). “Il est évident que la technologie numérique jouera un rôle vital dans la guerre comme dans la paix. Comme tant d’autres, nous appelons au rétablissement de la paix, au respect de la souveraineté de l’Ukraine et à la protection de son peuple“. Depuis le 4 Mars 2022, Microsoft a annoncé la suspensions de ses ventes en Russie (produits + services) ;

Netflix : suspension des activités (streaming) en Russie ;

WarnerMedia (Bros) : suspension de certains contenus cinématographiques en cours ou à venir tel que The Batman de la Russie ;

Paramount : suspension de certains contenus cinématographiques en cours à venir tels que The lost city et Sonic the hedgehog 2 de la Russie ;

Sony (Pictures) : suspension de certains contenus cinématographiques en cours ou à venir tel que Morbius de la Russie ;

Walt Disney Cie : des suspensions de contenus vers la Russie (notamment sous DisneyPlus) de plusieurs films ou dessins animés (également, au cinéma) ce qui inclus les activités Disney Cruise, NatGeo (tout contenu) ou encore certains films Pixar (Alerte Rouge) ;

Blizzard Activision : suspension des ventes de jeux en Russie “autant que le conflit perdurera“. Une donation issue des équipes de l’éditeur a été constitué à hauteur de 300 000 dollars USD avec “d’autres organismes de bienfaisance” à venir ;

Ubisoft : suspension des ventes video-ludiques en Russie pour soutenir “le peuple ukrainien” et les “équipes” Ubisoft (en Ukraine) ;

TakeTwo Int. : suspension des ventes physiques et numériques (y compris le support marketing) en Russie et Biélo-Russie.

This interpretation goes much further than many had thought on reading the regulation itself, and disapplies the E-Commerce Directive ban on general monitoring. If correct, this raises significant proportionality issues and freedom of expression issues. 2/
— TJ McIntyre (@tjmcintyre) March 9, 2022

En marge de l’actualité cyber-sécuritaire, des interrogations ou problématiques sont soulevées, notamment, concernant les récentes suspensions-sites, essentiellement russes, pour bloquer des sites d’actualités tels que SputnikNews et RTNews avec, en arrière-plan et par le biais des fondements du règlement (UE) 2022 / 350 du Conseil Européen, une voie potentielle vers la systématisation de blocage ou de-référencement de contenus ou sites en ligne, pour des raisons aussi légitimes et vertueuses invoquées, quelque soit le camp ou l’opinion, au nom de la paix… A veiller !

Sources :