Universités ciblées en Ukraine, l’ENT en France
Selon l’équipe derrière Wordfence, une attaque massive contre des facultés ukrainiennes coïncide avec l’invasion de l’Ukraine par la Russie, et a entraîné la compromission d’au moins 30 sites Web d’entre elles. Tout comme la région Île-de-France annonçait le 2 mars 2022, que l’espace numérique de travail (ENT) des lycées franciliens avait subi une agression informatique, ce malgré les mesures de sécurité engagées. Les différentes entités se placent et prennent position sur le conflit Russo-Ukrainien.
Wordfence protège plus de 8 000 sites Web en Ukraine, hors mis trois cents universités, la société indique s’occuper de sites Web privés, gouvernementaux, militaires et policiers. « Nous avons identifié l’acteur de la menace à l’origine de l’attaque, qui fait partie d’un groupe appelé le groupe Monday, que les membres appellent “theMx0nday” », précisent-ils en s’appuyant sur des données, explications et images. Toujours selon le travail de Wordfence « la majorité des attaques ont transité par un fournisseur de services Internet appelé Njalla ». Cette société permettant l’anonymat, jusqu’à une certaine mesure, est l’œuvre de Peter Sunde. Il a été condamné dans le cadre du procès The Pirate Bay, et a depuis monté plusieurs projets, avec plus ou moins de succès.
Trois pseudonymes (son1x, bky992 et xtdin66) associés à des comptes Twitter, dont les deux derniers sont définitivement clos, pourraient être les opérateurs derrière l’organisation « The MxOnday ». L’entité n’en est pas à son coup d’essai, fin 2021 des renseignements sensibles de la police indonésienne avaient été dérobés. De qui s’agissait-il ? « Un pirate brésilien nommé son1x a affirmé avoir réussi à s’introduire dans les données personnelles des policiers et des membres de leur famille la plus proche », écrivait le journal The Indonesia, le 22 novembre 2021. Environ 28 ko de données fournissaient le nom, le grade, le lieu et la date de naissance, l’unité de travail, l’état civil, le numéro de registre principal et plusieurs autres personnelles étaient en libre accès. De plus, il apparaîtrait que l’acteur de la menace est basé au Brésil.
La nouvelle société de Peter Sunde propose à ses clients de réserver pour eux les noms de domaines qu’ils souhaitent acquérir, tout en leur laissant les droits d’utilisation. Cela leur procure un niveau d’anonymat supplémentaire, car le service Whois ne permet pas facilement de retrouver ledit détenteur. Njalla sera par conséquent bureau d’enregistrement, le client et détenteur du fameux nom de domaine, les bureaux ne disposeront pas d’information sur l’identité de l’utilisateur final. Le nom proviendrait d’une coutume du peuple Sami, qui a pour tradition de construire des huttes sur pilotis pour y conserver ses biens.
Pic d’attaques
Comme tout endroit sur Terre, des tentatives d’infections par diverses attaques (brute-force, DDoS…) se produisent à chaque instant. La majeure partie du mois a été marquée comme à l’accoutumée de quelques centaines d’attaques quotidiennes sur tous les sites de l’enseignement ukrainien (.EDU.UA). « À partir du 25 février, nous avons assisté à un pic de plus de 104 000 attaques en une seule journée visant ces sites universitaires », indique Wordfence. Tous sites confondus, le 25 février 2022, c’est un peu plus de 144 000 attaques. « Ce pic représente environ trois fois le nombre d’attaques quotidiennes du début du mois sur les sites ukrainiens que nous protégeons. »
Les lycées franciliens
À moins de deux jours de la rentrée scolaire en Corse, Montpellier, Toulouse, et la région Île-de-France, la dernière annonçait mercredi 2 mars 2022 que l’espace numérique de travail (ENT) des lycées franciliens avait subi une cyberattaque. La collectivité territoriale, en lien avec les autorités académiques, « a immédiatement réagi et d’ores et déjà pris les mesures techniques et juridiques qui s’imposaient ». Le compte identifié comme étant à l’origine de l’accès frauduleux a été bloqué, une plainte a été déposée auprès du procureur de la République. « Un plan de protection a été mis en œuvre avec Orange Cyber Défense sur la base des recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) », alerte la région Île-de-France.
La région Île-de-France et les services du ministère de l’Éducation nationale ont informé les personnes concernées par cette cyberattaque, les invitant à modifier leurs mots de passe. Mais également de prendre des initiatives à prendre en cas d’utilisation illicite de données permettant de les identifier. Si les combats en Ukraine sont principalement conventionnels, rappelle l’ANSSI, elle constate l’usage de cyberattaques dans le cadre du conflit. Afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’agence incite les entreprises et les administrations à prendre les devants.
Ping : Démantèlement d’un ransomware en Ukraine – Libre Expression