Avant l'attaque russe contre l'Ukraine, il existait un certain nombre de cybermenaces : des attaques par déni de service distribué (DDoS) qui perturbaient sporadiquement les sites Web du gouvernement ukrainien et les fournisseurs de services financiers. Que pouvons-nous apprendre de l'histoire pour nous préparer ? Une chronologie de 2007 à 2022. Un commentaire de Chester Wisniewski, chercheur principal chez Sophos.
« Toutes les entreprises doivent toujours être prêtes à faire face à des attaques venant de toutes les directions. Mais il peut être utile de savoir ce qu'il faut rechercher lorsque le risque d'attaque augmente. J'ai décidé de passer en revue l'historique des activités connues ou suspectées de l'État russe dans le cyberenvironnement et d'évaluer à quels types d'activités s'attendre et comment les organisations peuvent être préparées." Chester Wisniewski, Sophos.
Attaques par déni de service déstabilisatrices
La première activité connue remonte au 26 avril 2007, lorsque le gouvernement estonien a déplacé une statue commémorant la libération de l'Estonie par l'Union soviétique des nazis vers un endroit moins visible. Cette action a provoqué la colère de la population russophone d'Estonie et déstabilisé les relations avec Moscou. Peu de temps après, il y a eu des émeutes dans les rues, des manifestations devant l'ambassade d'Estonie à Moscou et une vague d'attaques DDoS contre le gouvernement estonien et les sites Web des services financiers.
Des outils et des instructions entièrement préparés sur la façon de participer aux attaques DDoS sont apparus sur les forums russes presque immédiatement après la pose de la statue. Ces attaques visaient des sites Internet appartenant au Président, au Parlement, à la police, aux partis politiques et aux principaux médias.
Alors que d'autres "patriotes russes" ont été appelés à aider à punir l'Estonie, il ne s'agissait pas d'un mouvement de base* sorti de nulle part avec des outils et une liste de cibles. La même tactique a ensuite été utilisée par Anonymous pour défendre Wikileaks à l'aide d'un outil appelé Low Orbit Ion Canon (LOIC).
Actions depuis 2007
Le 4 mai 2007, les attaques se sont intensifiées et ont également visé des banques. Exactement sept jours plus tard, à minuit, les attaques ont pris fin aussi brusquement qu'elles avaient commencé. Tous ont immédiatement blâmé la Russie, mais l'attribuer à des attaques par déni de service distribuées est presque impossible. Il est maintenant largement admis que ces attaques DDoS étaient l'œuvre du Russian Business Network (RBN), un groupe criminel organisé notoire en Russie lié au spam, aux botnets et aux programmes d'affiliation pharmaceutique. Leurs services auraient été "engagés" pendant exactement une semaine pour mener ces attaques.
Le 19 juillet 2008, une nouvelle vague d'attaques DDoS a commencé, ciblant les sites Web d'actualités et gouvernementaux en Géorgie. Ces attaques se sont mystérieusement intensifiées de façon spectaculaire le 8 août 2008, lorsque les troupes russes ont envahi la province séparatiste d'Ossétie du Sud. Les attaques ont d'abord été dirigées contre des sites d'information et gouvernementaux géorgiens, puis également contre des institutions financières, des entreprises, des établissements d'enseignement, des médias occidentaux et un site Web de piratage géorgien.
Comme pour les attaques précédentes contre l'Estonie, un site Web est apparu avec une liste de cibles et un ensemble d'outils avec des instructions sur la façon de les utiliser. Ici aussi, des tentatives ont été faites pour attribuer les attaques aux « patriotes » qui ont résisté à l'agression géorgienne. Cependant, la majeure partie du trafic d'attaque réel provenait d'un grand botnet connu qui était censé être contrôlé par RBN.
Défiguration numérique et spam
Les attaques contre la Géorgie comprenaient également la dégradation de sites Web et des campagnes de spam massives conçues pour obstruer les boîtes de réception géorgiennes. Tout cela a apparemment servi à ébranler la confiance dans la capacité de la Géorgie à se défendre et à se gouverner, et à empêcher le gouvernement de communiquer efficacement avec ses citoyens et le monde extérieur.
Moins d'un an plus tard, en janvier 2009, une autre série d'attaques DDoS a commencé au Kirghizistan. Cela s'est produit en même temps que le gouvernement kirghize a décidé de prolonger le bail d'une base de l'armée de l'air américaine dans leur pays. Un accident? Il semblait que l'action était à nouveau prise par RBN, mais cette fois ce n'était pas un stratagème de "patriotes" exprimant leurs opinions numériques.
Cela nous amène au conflit cinétique le plus récent, l'invasion de la Crimée en 2014.
désinformation et isolement
Une guerre de l'information de bas niveau est menée contre l'Ukraine depuis 2009, de nombreuses attaques coïncidant avec des événements qui pourraient être interprétés comme une menace pour les intérêts russes, comme un sommet de l'OTAN et des négociations Ukraine-UE sur un accord d'association.
En mars 2014, le New York Times a rapporté que le logiciel malveillant Snake s'était infiltré dans le bureau du Premier ministre ukrainien et dans plusieurs ambassades éloignées alors que les manifestations anti-gouvernementales commençaient en Ukraine. Fin 2013 et début 2014, ESET a également publié des enquêtes documentant des attaques contre des cibles militaires et des médias, baptisées Opération Potao Express.
Comme auparavant, un cybergroupe autochtone appelé "Cyber Berkut" a mené des attaques DDoS et des dégradations de sites Web, mais sans causer de dommages majeurs. Cependant, cela a créé beaucoup de confusion, et cela seul a des implications en temps de conflit.
Au début du conflit, des militaires sans insignes ont pris le contrôle des réseaux de télécommunications de Crimée et du seul hub Internet de la région, provoquant un gel de l'information. Les assaillants ont abusé de leur accès au réseau cellulaire pour identifier les manifestants anti-russes et leur envoyer des SMS disant : "Cher abonné, vous êtes enregistré en tant que participant à une émeute de masse".
Après avoir isolé la capacité de communication de la Crimée, les assaillants ont également usurpé les téléphones portables des membres du parlement ukrainien, les empêchant de répondre efficacement à l'invasion. Comme indiqué dans Military Cyber Affairs, les campagnes de désinformation battaient leur plein :
« Dans un cas, la Russie a payé une seule personne pour avoir plusieurs identités Web différentes. Un acteur de Saint-Pétersbourg a déclaré qu'il agissait comme trois blogueurs différents avec dix blogs et commentait d'autres sites Web en même temps. Une autre personne a été embauchée pour commenter les actualités et les réseaux sociaux 126 fois toutes les XNUMX heures."
Alimentation paralysante
Le 23 décembre 2015, environ la moitié des habitants d'Ivano-Frankivsk (Ukraine) ont subitement été privés d'électricité. Il est largement admis que c'était le travail de pirates informatiques parrainés par l'État russe. Les premières attaques ont commencé plus de six mois avant la panne, lorsque les employés de trois centres de distribution d'électricité ont ouvert un document Microsoft Office infecté contenant une macro conçue pour installer un logiciel malveillant appelé BlackEnergy.
Les attaquants ont réussi à accéder à distance aux données du réseau SCADA (Supervisory Control and Data Acquisition) et à prendre le contrôle des commandes de la sous-station pour ouvrir les disjoncteurs. Ils ont ensuite compromis les télécommandes pour empêcher les interrupteurs de se fermer pour rétablir le courant. De plus, les attaquants ont utilisé un "wiper" pour détruire les ordinateurs utilisés pour contrôler le réseau, tout en menant simultanément une attaque par déni de service téléphonique (TDoS), inondant les numéros de service client et ainsi les clients qui ont tenté de signaler les pannes ont obtenu frustré.
Près d'un an plus tard, le 17 décembre 2016, les lumières se sont de nouveau éteintes à Kiev. Un accident? Probablement pas.
Cette fois, le malware responsable s'appelait Industroyer/CrashOverride et était beaucoup plus sophistiqué. Le logiciel malveillant était équipé de composants modulaires capables d'analyser le réseau pour trouver des contrôleurs SCADA et parler leur langue. Il avait également un composant d'essuie-glace pour effacer le système. L'attaque semblait sans rapport avec BlackEnergy ou l'outil d'effacement bien connu KillDisk, mais il n'y avait aucun doute sur qui était derrière.
Divulgation par courriel
En juin 2016, lors de la campagne présidentielle serrée entre Hillary Clinton et Donald Trump, une nouvelle figure appelée Guccifer 2.0 a émergé qui a affirmé avoir piraté le Comité national démocrate et transmis ses e-mails à Wikileaks. Bien qu'elle ne soit pas officiellement attribuée à la Russie, elle a fait surface parallèlement à d'autres campagnes de désinformation lors des élections de 2016 et est largement considérée comme la main du Kremlin.
Attaques de la chaîne d'approvisionnement : NotPetya
Les attaques persistantes de la Russie contre l'Ukraine n'étaient pas encore terminées et, le 27 juin 2017, elles ont exacerbé la situation en lançant un nouveau malware appelé NotPetya. Déguisé en nouveau logiciel de rançon, NotPetya a été distribué via une chaîne d'approvisionnement piratée d'un fournisseur ukrainien de logiciels de comptabilité. En fait, ce n'était pas du tout un rançongiciel. Il a chiffré un ordinateur mais n'a pas pu être déchiffré, effaçant efficacement l'appareil et le rendant inutilisable.
Les victimes ne se limitaient pas aux entreprises ukrainiennes. Le logiciel malveillant s'est propagé dans le monde entier en quelques heures, affectant principalement les organisations opérant en Ukraine, où le logiciel de comptabilité piégé a été déployé. On estime que NotPetya a causé au moins 10 milliards de dollars de dégâts dans le monde.
Sous un faux drapeau
Alors que les Jeux olympiques d'hiver de PyeongChang s'ouvraient le 9 février 2018, une autre attaque était imminente qui tenait le monde en haleine. L'attaque de logiciels malveillants a désactivé tous les contrôleurs de domaine sur le réseau olympique, empêchant tout, du Wi-Fi aux billetteries, de fonctionner correctement. Miraculeusement, l'équipe informatique a pu isoler le réseau, restaurer et supprimer les logiciels malveillants des systèmes, et le lendemain matin, tout fonctionnait à nouveau sans erreur.
Ensuite, il était temps d'effectuer une analyse des logiciels malveillants pour savoir qui tentait d'attaquer et de fermer l'ensemble du réseau Olympia. L'attribution des logiciels malveillants est difficile, mais il y avait des indices qui pourraient être utiles ou étaient de fausses pistes qui devraient pointer vers un tiers non impliqué. Les "preuves" semblaient indiquer la Corée du Nord et la Chine, mais il était presque trop évident de blâmer la Corée du Nord. En fin de compte, Igor Soumenkov de Kaspersky Lab, avec un brillant travail de détective, a trouvé une piste brûlante qui pointait directement vers Moscou.
Quelques années plus tard, juste avant les fêtes de fin d'année 2020, une attaque de la chaîne d'approvisionnement était connue ciblant le logiciel SolarWinds Orion utilisé pour gérer l'infrastructure réseau des grandes et moyennes entreprises du monde entier, dont de nombreuses agences fédérales américaines deviennent. Les mécanismes de mise à jour du logiciel ont été détournés et utilisés pour installer une porte dérobée.
L'importance des victimes combinée à l'accès fourni par la porte dérobée installée furtivement fait de cette attaque l'une des attaques de cyberespionnage les plus importantes et les plus dommageables de l'histoire moderne.
Le Federal Bureau of Investigation (FBI) des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA), le Bureau du directeur du renseignement national (ODNI) et la National Security Agency (NSA) ont publié une déclaration conjointe indiquant que leurs enquêtes indiquent que .. :
"... un acteur de menace persistante avancée, probablement d'origine russe, est responsable de la plupart ou de la totalité des cyberattaques en cours récemment découvertes sur les réseaux gouvernementaux et non gouvernementaux. À ce stade, nous pensons qu'il s'agit d'une action de renseignement et qu'elle continuera à l'être."
Cyberconflit russe en 2022
En 2022, les tensions cyber-politiques augmentent à nouveau et sont sur le point d'être mises à l'épreuve de manière critique. Les 13 et 14 janvier 2022, de nombreux sites Web du gouvernement ukrainien ont été dégradés et des systèmes ont été infectés par des logiciels malveillants déguisés en rançongiciels.
Plusieurs composantes de ces attaques rappellent le passé. Le malware n'était pas un rançongiciel, mais seulement un essuie-glace sophistiqué, tel qu'utilisé dans les attaques NotPetya. De plus, de nombreuses fausses pistes ont été laissées, suggérant qu'il pourrait s'agir de dissidents ukrainiens ou de partisans polonais. Distraire, confondre, nier et essayer de diviser semble être le répertoire standard maintenant.
Le mardi 15 février 2022, une série d'attaques DDoS a été lancée contre des sites gouvernementaux et militaires ukrainiens, ainsi que contre trois des plus grandes banques ukrainiennes. Dans un geste sans précédent, la Maison Blanche a déjà déclassifié certaines informations du renseignement, attribuant les attaques au GRU russe.
Le livre de jeu russe sur la cyberguerre
Et maintenant? Que la situation s'aggrave ou non, les cyberopérations se poursuivront certainement. Depuis l'éviction de Viktor Ianoukovitch en 2014, l'Ukraine a été confrontée à un barrage constant d'attaques qui ont connu des hauts et des bas à des degrés divers.
Selon la « Doctrine militaire de la Fédération de Russie » officielle russe de 2010 : "la conduite préalable d'opérations de guerre de l'information pour atteindre des objectifs politiques sans recourir à la force militaire, et par la suite dans l'intérêt d'une réponse positive de la communauté mondiale à l'utilisation de la force militaire".
Cela suggère une continuation des comportements antérieurs au conflit et fait des attaques DDoS un signe potentiel d'une réponse cinétique imminente. Avec la guerre de l'information, le Kremlin peut tenter de diriger la réaction du reste du monde aux actions en Ukraine ou sur d'autres cibles.
Les erreurs de suivi, les erreurs d'attribution, les communications interrompues et la manipulation des médias sociaux sont toutes des composantes importantes du concept de guerre de l'information de la Russie. Ils n'ont pas besoin de fournir un camouflage permanent pour les activités sur le terrain ou ailleurs, mais simplement de fournir suffisamment de retard, de confusion et de contradiction pour permettre à d'autres opérations concurrentes d'atteindre leurs objectifs.
Préparez et protégez
Fait intéressant, les États-Unis et le Royaume-Uni tentent de prévenir certaines des campagnes de désinformation, ce qui pourrait limiter leur efficacité. Cependant, nous ne devons pas supposer que les attaquants cesseront d'essayer, nous devons donc rester préparés et vigilants.
Par exemple, les organisations des pays voisins de l'Ukraine doivent être prêtes à être entraînées dans des escroqueries en ligne même si elles n'opèrent pas directement en Ukraine. Des attaques et des informations erronées antérieures ont été divulguées en Estonie, en Pologne et dans d'autres États frontaliers, mais uniquement en tant que dommages collatéraux. D'un point de vue mondial, nous devrions nous attendre à ce qu'un certain nombre de pigistes « patriotes » en Russie, c'est-à-dire les criminels de rançongiciels, les auteurs de phishing et les opérateurs de botnets, agissent avec encore plus de zèle que d'habitude contre des cibles perçues comme anti-mère patrie.
Il est peu probable que la Russie attaque directement les membres de l'OTAN et risque la promulgation de l'article V. Cependant, les gestes récents de la Russie pour contenir les criminels opérant à partir de la Fédération de Russie et de ses partenaires de la Communauté des États indépendants (CEI) prendront probablement fin et les menaces se multiplieront.
Alors que la défense en profondeur devrait être la chose la plus normale au monde, elle est particulièrement importante lorsque nous sommes confrontés à une augmentation de la fréquence et de la gravité des attaques. La désinformation et la propagande atteindront bientôt leur paroxysme, mais nous devons être sur nos gardes, fermer les écoutilles et surveiller nos réseaux pour tout ce qui est inhabituel alors que les cycles de conflit diminuent, même s'ils se terminent bientôt. Car, comme nous le savons tous, il peut s'écouler des mois avant que les preuves d'une intrusion numérique liée au conflit russo-ukrainien n'émergent.
Chester Wisniewski, chercheur principal chez Sophos (Image : Sophos).
À propos de l'auteur Chester Wisniewski
Chester Wisniewski est chercheur scientifique principal chez Sophos, l'un des principaux fournisseurs de solutions de sécurité de nouvelle génération. Il a plus de 20 ans d'expérience professionnelle.
Chester analyse les vastes quantités de données d'attaque collectées par les SophosLabs pour distiller et partager des informations pertinentes afin de donner à l'industrie une meilleure compréhension de l'évolution des menaces, du comportement des attaquants et des mesures de sécurité efficaces. Il a aidé des entreprises à développer des stratégies de défense à l'échelle de l'entreprise, a été responsable technique du développement de la première appliance de sécurité de messagerie de Sophos et a conseillé sur la planification de la sécurité pour certaines des plus grandes marques mondiales.
Chester est basé à Vancouver et est un conférencier régulier lors d'événements de l'industrie, notamment la conférence RSA, Virus Bulletin, Security BSides (Vancouver, Londres, Pays de Galles, Perth, Austin, Detroit, Los Angeles, Boston et Calgary) et autres. Reconnu comme l'un des meilleurs chercheurs en sécurité de l'industrie, il est régulièrement consulté par la presse, notamment BBC News, ABC, NBC, Bloomberg, CNBC, CBC et NPR.
Lorsqu'il ne lutte pas contre la cybercriminalité, Chester passe son temps libre à cuisiner, à faire du vélo et à encadrer les nouveaux arrivants dans le domaine de la sécurité grâce à son travail bénévole chez InfoSec BC. Chester est sur Twitter (@chetwisniewski).
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.