Un malware émanant des services de renseignement russes a été détecté en Estonie. Il sert essentiellement à des fins d’espionnage, mais peut également être utilisé pour détruire les systèmes informatiques ciblés.


au sommaire


    L’Estonie a toujours été la cible des pirates liés au Kremlin. L'État balte frontalier de la Russie avait fait l'objet d'une vaguevague massive de cyberattaques dès 2007. Elle avait paralysé le pays qui était alors celui ayant le plus développé la dématérialisation de ses services. L'objectif du Kremlin ? Déstabiliser ce petit pays qui tournait le dosdos à la Russie et démantelait les statues de l'époque soviétique.

    Aujourd'hui, sur fond de guerre en Ukraine et de défiance envers l'Union européenne, la Russie poursuit cette guerre hybridehybride via des opérations d'influence numérique et des cyberattaques. La société de cybersécurité WithSecure vient justement de détecter un malware qu'elle a baptisé Kapeka et qui vient clairement du renseignement russe. L'attribution a été possible en analysant les scripts. Ils sont similaires à ceux exploités par le groupe de hackers lié au renseignement russe, Sandworm.

    Sandworm, un groupe rattaché aux renseignements russes

    C'est ce groupe qui avait attaqué le réseau énergétique en Ukraine en 2016. Le nouveau malware vient donc s'ajouter à son arsenal. Dans le cas de Kapeka, le nuisible ouvre une porte dérobéeporte dérobée, une « backdoor » sur les ordinateurs infectés. Cela permet d'analyser leurs flux d'informations et d'implanterimplanter d'autres codes malveillants. Le backdoor est assez furtif pour rester indétectable et il a la capacité de pouvoir s'autodétruire.

    Pour brouiller les pistes, en plus d'espionner des cibles de haute valeur, Kapeka peut servir à implanter un ransomware dont l'objectif n'est pas tant la rançon que la destruction. Cela peut paralyser des entreprises de premier plan du pays ciblé. L'outil serait aussi présent dans d'autres pays ayant appartenu à l'ancien bloc soviétique. L'Ukraine serait également ciblée, ainsi que la Pologne. L'ancêtre de ce malware avait déjà été découvert dans une entreprise estonienne au printemps 2023.