Un nouveau malware du renseignement russe s’attaque à l’Europe
Des logiciels malveillants émanant des services de renseignement russes ont été détectés en Estonie. Il est principalement utilisé à des fins d’espionnage, mais peut également être utilisé pour détruire des systèmes informatiques ciblés.
L’Estonie a toujours été une cible pour les pirates informatiques liés au Kremlin. L’État balte limitrophe de la Russie avait fait l’objet d’une vaguevague cyberattaques massives depuis 2007. Elles ont paralysé le pays qui était alors celui ayant le plus développé la dématérialisation de ses services. L’objectif du Kremlin ? Déstabiliser ce petit pays qui tournait dosdos en Russie et démantelé des statues de l’ère soviétique.
Aujourd’hui, sur fond de guerre en Ukraine et de méfiance à l’égard de l’Union européenne, la Russie poursuit cette guerre. hybridehybride via opérations d’influence numérique et cyberattaques. La société de cybersécurité WithSecure vient de détecter un malware qu’elle a baptisé Kapeka et qui provient clairement des renseignements russes. L’attribution a été possible grâce à l’analyse des scripts. Ils sont similaires à ceux exploités par le groupe de hackers Sandworm, lié aux services de renseignement russes.
Sandworm, un groupe lié aux renseignements russes
C’est ce groupe qui a attaqué le réseau énergétique en Ukraine en 2016. Le nouveau malware vient donc s’ajouter à son arsenal. Dans le cas de Kapeka, le ravageur ouvre un porte arrièreporte arrière, une « porte dérobée » sur les ordinateurs infectés. Cela permet d’analyser leurs flux d’informations etimplantimplant autre code malveillant. La porte dérobée est suffisamment furtive pour rester indétectable et a la capacité de s’autodétruire.
Pour brouiller les traces, en plus d’espionner des cibles de grande valeur, Kapeka peut être utilisé pour implanter un ransomware dont l’objectif n’est pas tant la rançon que la destruction. Cela peut paralyser les principales entreprises du pays ciblé. L’outil serait également présent dans d’autres pays appartenant à l’ancien bloc soviétique. L’Ukraine serait également visée, ainsi que la Pologne. L’ancêtre de ce malware avait déjà été découvert dans une entreprise estonienne au printemps 2023.