Au moins six groupes de pirates différents liés au Kremlin ont mené près de 240 cyberopérations contre des cibles ukrainiennes, a déclaré Microsoft, dans des données qui révèlent une portée plus large des cyberattaques russes présumées pendant la guerre contre l'Ukraine que celle documentée précédemment. « Le recours de la Russie aux cyberattaques semble être fortement corrélé et parfois directement synchronisé avec ses opérations militaires cinétiques », a déclaré Tom Burt, un vice-président de Microsoft.« Aujourd'hui, nous avons publié un rapport détaillant les cyberattaques russes incessantes et destructrices que nous avons observées dans le cadre d'une guerre hybride contre l'Ukraine, et ce que nous avons fait pour aider à protéger la population et les organisations ukrainiennes », a déclaré Microsoft. « Nous pensons qu'il est important de partager ces informations afin que les décideurs et le public du monde entier sachent ce qui se passe, et que les autres membres de la communauté de la sécurité puissent continuer à identifier cette activité et à s'en défendre. Tout ce travail vise en fin de compte à protéger les civils contre les attaques qui peuvent avoir un impact direct sur leur vie et leur accès aux services essentiels », précise l’équipe de cyberdéfense chez Microsoft.
Selon certains analystes, le rapport de Microsoft est le document public le plus complet à ce jour sur les activités de piratage russe liées à la guerre en Ukraine. En effet, le document comble certaines lacunes dans la compréhension publique des endroits où les capacités cybernétiques vantées de la Russie ont été déployées pendant la guerre.
Burt cite une cyberattaque contre une société de radiodiffusion ukrainienne le 1er mars, le même jour qu'un tir de missile russe contre une tour de télévision à Kiev, et des courriels malveillants envoyés à des Ukrainiens prétendant à tort que le gouvernement ukrainien les « abandonnait" » dans le cadre du siège russe de la ville de Marioupol. Selon le rapport de Microsoft, les pirates informatiques russes présumés « s'efforcent de compromettre des organisations dans les régions d'Ukraine » et pourraient avoir recueilli des renseignements sur les partenariats militaires ukrainiens plusieurs mois avant l'invasion à grande échelle de février.
Les attaques militaires de la Russie contre l'Ukraine sont parfois « en corrélation avec des cyberattaques, en particulier lorsqu'il s'agit d'attaques contre l'infrastructure de télécommunications dans certaines régions », a déclaré mercredi à la presse Victor Zhora, un haut responsable du gouvernement ukrainien chargé des cyberattaques.
Dans les semaines qui ont suivi la dernière invasion de l'Ukraine par la Russie, certains experts et responsables américains se sont étonnés qu'il n'y ait pas eu davantage de cyberattaques russes perturbatrices ou débilitantes dans le pays. Les explications possibles allaient de la désorganisation de la planification militaire russe aux défenses ukrainiennes renforcées, en passant par le fait que les bombes et les balles ont la priorité sur le piratage en temps de guerre. Mais une avalanche de piratages présumés russes et biélorusses visant à déstabiliser l'Ukraine a bel et bien eu lieu, et certains piratages sont apparus des semaines après avoir eu lieu. Certaines tentatives de piratage ont été plus fructueuses que d'autres.
Étapes des cyber-opérations russes en Ukraine depuis décembre
Au début de la guerre, une cyberattaque à multiples facettes a mis hors service le service Internet de dizaines de milliers de modems satellites en Ukraine et ailleurs en Europe ; les responsables américains enquêtent sur cet incident, qui pourrait être un piratage parrainé par l'État russe, selon un rapport précédent de CNN. Au début du mois, un groupe de pirates informatiques lié à l'armée russe a ciblé une sous-station électrique ukrainienne dans un piratage qui, s'il avait réussi, aurait pu couper le courant pour 2 millions de personnes, selon des responsables ukrainiens. Mais si le même groupe de pirates a réussi à couper le courant en Ukraine en 2015 et 2016, la récente cyberattaque n'a pas affecté la fourniture d'électricité de la compagnie d'électricité visée, selon Zhora.
Les responsables de l'OTAN David Cattler et Daniel Black ont noté une série de piratages russes présumés d'effacement de données visant des organisations ukrainiennes sur plusieurs semaines. « Si les observateurs considèrent cette cyber offensive comme une série d'événements isolés, son ampleur et sa signification stratégique se perdent dans la violence conventionnelle qui se déroule en Ukraine », ont écrit Cattler et Black.
Les responsables de la Maison Blanche, du ministère de la Sécurité intérieure et d'autres agences ont travaillé en étroite collaboration avec leurs homologues ukrainiens pour tenter de se défendre contre le piratage russe et obtenir des informations sur les capacités russes qui pourraient être utilisées contre les occidentaux.
« L'Ukraine a été, malheureusement, une sorte de terrain de jeu pour les cyber-armes au cours des huit dernières années », a déclaré Zhora. « Et maintenant, nous voyons que certaines technologies qui ont été testées ou certaines des attaques qui ont été organisées sur l'infrastructure ukrainienne se poursuivent dans d'autres États. » Zhora a vanté la résilience des défenseurs des réseaux ukrainiens.
Les attaques ont non seulement dégradé les systèmes des institutions ukrainiennes, mais ont également cherché à perturber l'accès de la population à des informations fiables et à des services vitaux essentiels dont dépendent les civils, et ont tenté d'ébranler la confiance dans les dirigeants du pays. Microsoft dit avoir également observé une activité limitée d'espionnage impliquant d'autres États membres de l'OTAN, ainsi qu'une certaine activité de désinformation.
Ce graphique est un aperçu des acteurs russes de la cybermenace que MSTIC a observés en train d'exécuter des opérations spécifiquement contre des cibles ukrainiennes avant l'invasion et des exemples de leurs activités. Difficile d'identifier le moment exact où l'espionnage à long terme a pu se déplacer pour soutenir la préparation de l'invasion.
Comme le détaille le rapport, le recours de la Russie aux cyberattaques semble être fortement corrélé et parfois directement synchronisé avec ses opérations militaires cinétiques visant des services et des institutions essentiels pour les civils. Par exemple, un acteur russe a lancé des cyberattaques contre une importante société de radiodiffusion le 1er mars, le jour même où l'armée russe a annoncé son intention de détruire les cibles de « désinformation » ukrainiennes et a dirigé une frappe de missiles contre une tour de télévision à Kiev.
Le 13 mars, au cours de la troisième semaine de l'invasion, un autre acteur russe a volé des données d'un organisme de sécurité nucléaire, quelques semaines après que les unités militaires russes ont commencé à s'emparer de centrales nucléaires, suscitant des inquiétudes quant à l'exposition aux radiations et aux accidents catastrophiques. Alors que les forces russes assiégeaient la ville de Marioupol, les Ukrainiens ont commencé à recevoir un courriel d'un acteur russe se faisant passer pour un habitant de Marioupol, accusant faussement le gouvernement ukrainien d' « abandonner » les citoyens ukrainiens.
32 % des attaques destructrices visaient directement les organisations gouvernementales ukrainiennes aux niveaux national, régional et municipal. Plus de 40 % des attaques destructrices visaient des organisations dans des secteurs d'infrastructures critiques qui pourraient avoir des effets négatifs de second ordre sur le gouvernement, l'armée, l'économie et les civils ukrainiens.
Le graphique ci-dessus représente la répartition géographique des clients notifiés de toute activité menaçante d'un État-nation, pas seulement russe, entre le 1er juillet 2020 et le 30 juin 2021. En juin 2021, l'Ukraine était le deuxième pays le plus touché avec 19 % de toutes les notifications d'activité de menace d'État-nation que nous avons fournies aux clients pendant cette période.
Les acteurs qui se livrent à ces attaques utilisent diverses techniques pour obtenir un accès initial à leurs cibles, notamment le hameçonnage, l'utilisation de vulnérabilités non corrigées et la compromission des fournisseurs de services informatiques en amont. Ces acteurs modifient souvent leurs logiciels malveillants à chaque déploiement pour échapper à la détection. Microsoft attribue les attaques de logiciels malveillants essuie-glace précédemment divulguées à un acteur étatique russe appelé Iridium.
Le rapport de Microsoft comprend également une chronologie détaillée des cyber-opérations russes qui ont été observées. Les acteurs alliés à la Russie auraient commencé à se repositionner en vue d'un conflit dès mars 2021, en multipliant les actions contre des organisations situées à l'intérieur de l'Ukraine ou alliées à celle-ci, afin de prendre pied dans les systèmes ukrainiens. Lorsque les troupes russes ont commencé à se rapprocher de la frontière avec l'Ukraine, Microsoft dit avoir constaté des efforts pour obtenir un accès initial à des cibles susceptibles de fournir des renseignements sur les partenariats militaires et étrangers de l'Ukraine.
À la mi-2021, les acteurs russes ont ciblé les fournisseurs de la chaîne d'approvisionnement en Ukraine et à l'étranger afin d'obtenir un accès supplémentaire non seulement aux systèmes ukrainiens, mais aussi à ceux des États membres de l'OTAN. Au début de l'année 2022, lorsque les efforts diplomatiques n'ont pas permis de désamorcer les tensions croissantes liées au renforcement militaire de la Russie le long des frontières de l'Ukraine, les acteurs russes ont lancé des attaques destructives de logiciels malveillants contre les organisations ukrainiennes avec une intensité croissante.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
L'Ukraine aurait obtenu des informations personnelles sur environ 120 000 soldats russes engagés dans le conflit, notamment des noms, des adresses, des numéros de passeport, etc. L'Ukraine fait pression pour débrancher la Russie d'Internet, les experts estiment que cela pourrait être un désastre La demande de l'Ukraine de couper la Russie de l'internet mondial a été rejetée, le fonctionnement de l'Internet n'est pas politisé repond l'ICANN L'Ukraine affirme que son "armée informatique" a mis hors service des sites Web clés de la Russie, ce qui montre que la ligne de front cybernétique entre les deux pays s'intensifie