La guerre qui se déroule actuellement en Ukraine se joue aussi sur le terrain cyber. Si cela est loin d’être une surprise pour les observateurs du conflit, Microsoft vient une nouvelle fois de le confirmer. Selon le géant américain, six groupes de pirates informatiques parrainés par la Russie de Vladimir Poutine ont lancé plus de 237 cyberattaques contre l’Ukraine dans les semaines qui ont précédé l’invasion russe du 24 février.
Microsoft vient de publier un rapport détaillé expliquant comment les cyberattaques russes contre l’Ukraine étaient « fortement corrélées » ou « directement synchronisées » avec les opérations militaires menées par la Russie contre son voisin. Le 1er mars, plusieurs médias basés à Kiev ont ainsi été frappés par des logiciels malveillants destructeurs et voleurs d’informations, ce qui a coïncidé avec un tir de missile sur une tour de télévision de Kiev le même jour.
Rebelote le 13 mars, lorsqu’un groupe de pirate présumé être commandité par la Russie a volé des données d’un organisme de sécurité nucléaire, alors qu’au même moment, les troupes russes s’emparaient de la centrale nucléaire de Tchernobyl et de la centrale nucléaire de Zaporizhzhia. Le rapport du géant technologique examine de plus près l’utilisation par la Russie de logiciels malveillants destructeurs pendant et avant l’invasion, dont le premier a été découvert à la mi-janvier et baptisé WhisperGate. Selon Microsoft, la combinaison du cyberespace et de l’armée témoigne de la stratégie de guerre hybride de la Russie.
Des attaques coordonnées ?
« L’utilisation par la Russie de cyberattaques semble être fortement corrélée et parfois directement synchronisée avec ses opérations militaires cinétiques visant des services et des institutions essentiels pour les civils », explique Brad Smith, président de Microsoft. Selon le rapport du géant américain, la veille de l’invasion de l’Ukraine par l’armée russe, des opérateurs liés au GRU – le service de renseignement militaire russe – ont lancé des cyberattaques destructrices sur des centaines de systèmes d’organisations gouvernementales, informatiques, énergétiques et financières ukrainiennes.
Microsoft a détecté 37 attaques de logiciels malveillants destructeurs contre l’Ukraine entre le 24 février et le 8 avril par le biais de huit familles de logiciels malveillants destructeurs connues, dont FoxBlade, que Microsoft a découvert en février, FiberLake, IsaacWiper/HermeticWiper/SonicVote et CaddyWiper, ainsi qu’Industroyer2, visant les systèmes de contrôle industriel (ICS). Dans de nombreux cas, le malware utilise l’utilitaire SecureDelete pour effacer les données.
Le gouvernement américain a récemment mis en garde contre un logiciel malveillant russe présumé, appelé Pipedream, personnalisé pour compromettre les équipements ICS de plusieurs fournisseurs. Au début du mois, les autorités ukrainiennes ont également déclaré avoir arrêté une cyberattaque contre une installation énergétique qui aurait pu couper l’électricité à deux millions de personnes. « Les acteurs connus et présumés de la menace russe ont déployé des logiciels malveillants et abusé d’utilitaires légitimes à 37 reprises pour détruire les données des systèmes ciblés. SecureDelete est un utilitaire Windows légitime dont les acteurs de la menace ont abusé pour supprimer définitivement les données des appareils ciblés », relève-t-on du côté de Microsoft.
Cibles critiques
« Plus de 40 % des attaques destructrices visaient des organisations dans des secteurs d’infrastructures critiques susceptibles d’avoir des effets négatifs de second ordre sur le gouvernement, l’armée, l’économie et la population », indique Microsoft. En outre, 32 % des incidents destructeurs ont touché des organisations gouvernementales ukrainiennes aux niveaux national, régional et municipal.
Pour rappel, les trois principales agences militaires russes identifiées par Microsoft dans son rapport sont le GRU, le SVR (service de renseignement extérieur russe) et le FSB (service fédéral de sécurité). Les principales méthodes d’accès initial sont le phishing, l’utilisation de vulnérabilités non corrigées et la compromission de fournisseurs de services informatiques. Selon Microsoft, les cyberattaques de la Russie semblaient « fonctionner en tandem » contre des cibles d’activité militaire. Cependant, il n’est pas certain que celles-ci soient coordonnées, centralisées ou qu’il y ait simplement un ensemble commun de priorités comprises.
« Il est arrivé que des attaques de réseaux informatiques précèdent immédiatement une attaque militaire, mais ces cas ont été rares de notre point de vue. Jusqu’à présent, les cyberopérations ont été cohérentes avec les actions visant à dégrader, perturber ou discréditer les fonctions gouvernementales, militaires et économiques ukrainiennes, à prendre pied dans les infrastructures critiques et à réduire l’accès du public ukrainien à l’information », indique Microsoft.
Dans la période précédant l’invasion, le géant technologique a également observé que les cyberattaques russes devenaient de plus en plus bruyantes et perturbatrices et qu’elles s’intensifiaient généralement à la suite d’échecs diplomatiques liés au conflit avec l’Ukraine et les membres de l’OTAN. Le PDG de Microsoft a exhorté toutes les organisations à tenir compte des alertes publiées par les autorités en raison de la crainte que le soutien militaire de l’OTAN à l’Ukraine ne pousse la Russie à viser des cibles situées au-delà des seules frontières ukrainiennes.
Source : ZDNet.com