Ukraine Russie: Vers une première cyberguerre mondiale

Conflit en Ukraine: vers une première cyberguerre mondiale?

Lorsque les États-Unis ont eu besoin d’un site pour tester leurs armes atomiques durant la Guerre Froide, elles ont utilisé un atoll isolé nommé «Bikini» parmi les îles Marshall dans l’océan pacifique. À partir de 1946 jusque dans les années soixante, cet atoll long d’à peu près 40km et entouré de coraux a été le théâtre de plus de 20 tests d’armement nucléaire. De nous jours, plusieurs agents de menaces de nations étrangères pourraient voir l’Ukraine comme un site de test parfait pour tester leurs cyberarmes et leurs techniques, tactiques et procédures (TTPs). Dans le domaine du cyberespace, les cyberattaques peuvent rapidement et aisément franchir les frontières. Il est donc capital qu’à travers le globe, les gouvernements démocratiques et leurs corporations aient des systèmes de défenses adéquats en place afin d’avoir une bonne posture de cybersécurité pour faire face aux cybermenaces en constante évolution.

L’infrastructure informationnelle de l’Ukraine est similaire aux pays de l’Europe de l’Ouest, au Canada et aux États-Unis, bien qu’elle soit plus limitée que l’alliance de renseignement Five Eyes (FVEY) qui inclut l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis. Tenant compte des circonstances militaires actuelles, ceci fait de l’Ukraine une cible de choix pour des pays anti-démocratiques comme l’Iran, la Corée du Nord et la Chine puissent tester leurs capacités d’armes cybers.

Quelles catégories de cyberattaques ont-elles été employées jusqu’à présent dans ce conflit? Les premières attaques cybers semblent avoir été pro-russes. Elles ont ciblé des sites gouvernementaux Ukrainiens ayant le message : «Be afraid and expect the worse.» (Soyeux effrayés, le pire s’en vient). Ce premier conseil a été suivi d’un autre message trompeur : « All your personal data has been sent to a public network. All data on your computer is destroyed and cannot be recovered » (Nous avons toutes vos données personnelles. Toutes les données de votre ordinateur ont été détruites et ne peuvent pas être récupérées). Cependant, le Bureau National d’Investigation, l’équivalent Ukrainien du FBI, a émis un démenti stipulant qu’aucune donnée n’avait été dérobée. Puis, le secrétaire du Conseil National de Sécurité et de Défense de l’Ukraine a attribué ces dernières cyberattaques à un groupe de pirates informatiques lié au Bureau du Renseignement biélorusse.

Dès la mi-Janvier, Microsoft rapportait qu’un virus effaceur de données déguisé en rançongiciel (identifié sous le nom de code DEV-0586) avait été détecté sur des systèmes appartenant à des agences et des organisations gouvernementales ukrainiennes. L’activation de ce virus destructeur sur ces systèmes critiques aurait causé des perturbations majeures pour le gouvernement Ukrainien. Ce virus aurait-il été déployé en catimini sur ses cibles par un auteur de cybermenace anticipant une invasion de la Russie; un peu à la manière de mines anti-char pouvant grandement handicaper un adversaire?

Le Department of Homeland Security (DHS) des États-Unis a depuis émis un avis de sécurité à l’intention des opérateurs et propriétaires d’infrastructures critiques ainsi qu’aux dirigeants d’États et de municipalités stipulant que des contre-cyberattaques russes seraient possibles si Moscou pouvait se sentir menacée par des actions de l’OTAN et des USA en réponse à l’invasion russe en Ukraine.

En février, le ministère de la défense ukrainien, des bases militaires et au moins deux banques ont été ciblés par des attaques de déni de service distribuées (DDoS). De plus, il a été démontré que les forces russes ont infiltré des réseaux ukrainiens appartenant aux secteurs militaires et énergétiques ainsi que d’autres réseaux d’infrastructures critiques afin de colliger des informations nécessaires à l’orchestration d’une invasion imminente.

En fin février, des chercheurs en cybersécurité de Symantec et d’ESET ont rapporté l’existence d’un nouveau maliciel nommé HermeticWiper se propageant en Ukraine, en Lituanie et en Lettonie.  Le Centre canadien pour la cybersécurité a également émis une alerte de sécurité à propos de ce virus informatique le 23 février corroborant les articles de recherches suivants :

• HermeticWiper – New Destructive Malware Used In Cyber Attacks on Ukraine
• HermeticWiper – New data‑wiping malware hits Ukraine
• Hermetic Wiper & resurgence of targeted attacks on Ukraine
• Ukraine – Disk-wiping Attacks Precede Russian Invasion

L’une des cyberattaques majeures a été menée contre Viasat, la plus grande compagnie de satellites commerciaux au monde. Toujours en fin février, le site web Sky News a publié un article mentionnant que l’important réseau KA-SAT de Viasat avait été la cible de cyberattaques simultanées sur plusieurs fronts causant l’interruption de service Internet de plusieurs milliers de clients en Ukraine et de dizaines de milliers en Europe. En réponse à ces attaques, l’Ukraine a lancé son programme «IT Army of Ukraine » qui a enrôlé pas moins de 184 000 programmeurs et pirates informatiques civils à travers le monde. Ce groupe tactique d’urgence a prétendument augmenté les capacités de cyberdéfenses de l’Ukraine.

Force est d’admettre que l’Ukraine et ses alliés n’ont pas que des méthodes défensives dans le cyberespace depuis le début de ce conflit armé. En début mars 2022, le National Computer Incident Response and Coordination Center de la Russie a publié une liste massive d’adresse IP et de noms de domaine ayant prétendument été utilisés lors de cyberattaques contres des systèmes informatiques russes.

Lorsque la Russie a finalement envahi l’Est de l’Ukraine, un groupe de hackers pro-Ukraine ont compromis un site web associé à l’Institut de Recherche Spaciale de la Russie pour y inscrire des messages vulgaires et disgracieux envers le régime de Vladimir Poutine.

Un autre collectif d’hacktivistes bien connu sous le nom d’Anonymous ont aussi revendiqué avoir mis hors-ligne le site web du Federal Security Service (FSB) et 2500 autres sites russes et biélorusses en soutient au peuple ukrainien. Ils auraient également piraté les services de diffusion en continu russes Wink et Ivi ainsi que les chaînes de télévision Russia 24, Channel One et Moscow 24 dans le but de diffuser des images de la guerre qui sévit en Ukraine.

Le groupe d’analyse des menaces chez Google a rapporté qu’une vaste campagne d’hameçonnage provenant de la Biélorussie ciblait des fonctionnaires et du personnel militaire polonais et ukrainiens. Le groupe hacktiviste « International Information Technology Battalion 300 » (ILIT300) a été particulièrement inventif en utilisant un logiciel d’appels et de messagerie automatisés développé par des pirates informatiques ukrainiens afin de contourner les mécanismes de censure médiatique en Russie. Ce groupe aurait appelé et envoyé directement des textos à des milliers de citoyens russes dans l’espoir de les sensibilisés au conflit en Ukraine et de favoriser une mobilisation anti-guerre en Russie. La journaliste et correspondante au Telegraph Moscow, Nataliya Vasilyeva, a confirmé avoir reçu l’un de ces appels.

Toujours en début mars, la Russie était encore elle-même visée par une cyberattaque de type chaîne d’approvisionnement d’envergure qui aurait compromis des sites d’agences fédérales. Les sites web fédéraux eux-mêmes sont difficiles à pirater alors les attaquants ont ciblés des services de tierce-vendeurs utilisés par ces site web. Dans ce cas-ci, le logiciel de comptage qui traque les visiteurs des sites web a été piraté afin d’afficher du contenu non-autorisé. Parmi les organisations victimes, on compte le ministère de l’énergie, le ministère de la culture, le service fédéral des statistiques, le service fédéral des pénitenciers, le service fédéral des huissiers, le service fédéral anti-monopole ainsi que d’autres agences russes.

Sans grand étonnement, des chercheurs en sécurité de chez Cisco Talos ont découvert que des cybercriminels ont essayé de profiter de la crédulité de sympathisants et d’hacktivistes peu expérimentés pro-Ukraine en leurs vendant de soi-disant cyberarmes qui se sont avérer être des virus cheval de Troie qui subtilisaient les données de ces pirates amateurs et installaient des logiciels d’exploitation de cryptomonnaies dans leurs ordinateurs. Ces mêmes groupes de cybercriminels sans scrupule ont également abusé de la bonté de donateurs pro-Ukraine en prétendant collecter des fonds pour venir en aide aux réfugiés de la guerre.

En fin mars, la plus grande banque de Russie, Sberbank, a envoyé un message d’alerte à ses usagers indiquant de ne pas (ironiquement) mettre à jour leur logiciel bancaire dû à une menace de « protestware » : un néologisme créé à partir des mots anglais « protest » (manifester) et « software » (logiciel). Il s’agit d’une nouvelle tendance ou les programmeurs et auteurs de librairies de codes partagées populaires introduisent subrepticement des lignes de code malicieux dans leurs logiciels. Une exemple récent et pertinent a été rapporté par le journal Ars Technica le 18 mars.

Finalement, le groupe d’analyse de menaces chez Google (TAG) a cette fois-ci rapporté que des auteurs de menaces sponsorisés par des états-nations, notamment la Chine, l’Iran, la Corée du Nord, la Russie et d’autres groupes de moindres envergures, ciblaient des groupes civils de soutient à l’Ukraine en Occident afin de les pirater par de l’hameçonnage.

En définitive, les tactiques et les outils (armes) cybers que l’on voit être utilisée ou se propager en Ukraine et en Russie vont tôt ou tard franchir les frontières indissociables du cyberespace et arriver à nos portes dans un futur rapproché. Toute organisation qui se croient immunisée ou « pas assez grosse pour être une cible alléchante » ne sera pas adéquatement préparer pour se protéger et répondre aux menaces décrites tout au long de cet article. Ces cybermenaces inclues :

• Des attaques de dénis de services (DoS)
• Des rançongiciels handicapants
• Le vol de données de tous vos clients, vos employés et votre propriété intellectuelle
• Des virus destructeurs qui effacent toutes vos données
• Des sabotages logiciels délibérés causant des dommages physiques irréparable (pensez à Stuxnet qui a causé la destruction de centrifugeuses nucléaires en Iran)

Si un scénario d’attaque peut être imaginé, il sera mis en place tôt ou tard. Vous avez donc besoin d’un expert à vos côtés qui sait comment exploiter des réseaux et qui vous conseillera pour améliorer votre posture de cybersécurité : c’est la raison même pour laquelle Ardent Sécurité a été fondée. Nous avons le savoir-faire, l’expérience, la formation et les certifications nécessaires pour bien préparer votre organisation contre les cybermenaces.

Appelez Ardent Sécurité dès maintenant.

647-478-2600

On peut vous aider.