Zhadnost Botnet

Une nouvelle souche de malware a été découverte pour être utilisée dans les attaques DDoS contre l'infrastructure numérique de l'Ukraine. Les opérations menaçantes ont eu lieu juste avant et pendant les premiers jours de l'invasion russe du pays ukrainien. Le nom donné à ce malware botnet par les chercheurs qui ont analysé ses fonctionnalités et le code sous-jacent est Zhadnost. Jusqu'à présent, trois attaques différentes impliquant la menace ont été identifiées.

Détails de l'attaque

Les acteurs de la menace ont ciblé le gouvernement ukrainien et les sites Web financiersen continu. Plus précisément, leurs cibles semblent être les sites appartenant aux 7 entités suivantes :

• Ministère ukrainien des affaires étrangères
• Ministère ukrainien de la Défense
• Ministère ukrainien de l'intérieur
• Service de sécurité de l'Ukraine
• Cabinet des ministres ukrainien
• Oschadbank
• Banque privée

L'efficacité des attaques DDoS (Distributed Denial of Service) a été minime, les sites Web rétablissant leur fonctionnalité normale relativement rapidement. Il convient de noter que la première attaque détectée consistait en une combinaison entre Zhadnost et d'autres botnets, tandis que les attaques suivantes ont été menées par Zhadnost uniquement. L'attribution du logiciel malveillant à un acteur menaçant spécifique n'a pas été possible avec les informations actuellement disponibles, mais il est plutôt probable que l'organisation de cybercriminalité responsable du botnet ait des liens avec la Russie.

Détails du botnet Zhadnost

Jusqu'à présent, plus de 3 000 adresses IP uniques ont été identifiées comme étant infectées par le botnet Zhadnost. La majorité des appareils compromis sont des routeurs MikroTik qui ont été piratés par des paramètres de récursivité DNS mal configurés ou d'autres vulnérabilités. Les robots ont ensuite été chargés de lancer des attaques DDoS via des inondations HTTP et une amplification DNS. Il convient de noter qu'aucun des bots Zhadnost actuellement connus ne se trouve en Russie ou en Biélorussie. Au lieu de cela, ils sont répartis dans plusieurs pays et plusieurs continents différents.

Alors que la Russie devient plus agressive et impitoyable dans ses actions contre l'Ukraine, les experts en cybersécurité s'attendent à ce que ses efforts pour perturber les principaux sites Web et plateformes numériques s'intensifient également. Cela pourrait signifier que malgré le manque d'impact des opérations actuelles impliquant le botnet Zhadnost, le logiciel malveillant pourrait être exploité dans des attaques plus précises contre des cibles critiques, telles que des groupes électrogènes, des services de télécommunication, des unités militaires, etc.