Retour sur six mois de guerre en Ukraine : quelle stratégie les cyberattaques russes ont-elles poursuivie et quelle a été leur efficacité jusqu'à présent ? La cyberguerre a été menée selon 4 stratégies : destruction, désinformation, hacktivisme et e-espionnage. Un commentaire de Chester Wisniewski, chercheur principal chez Sophos.
Lorsque la Russie a envahi l'Ukraine le 24 février 2022, malgré de nombreuses tentatives d'évaluation, aucun d'entre nous ne savait quel rôle les cyberattaques pourraient jouer dans une invasion à grande échelle. La Russie menait des cyberattaques contre l'Ukraine depuis l'occupation de la Crimée en 2014, et il semblait inévitable que ces outils continueraient à jouer un rôle, surtout après les attaques sur le réseau électrique ukrainien et la propagation mondiale du ver NotPetya.
L'un des défis de l'évaluation de l'efficacité ou de l'impact des cyberattaques est de voir comment elles s'intègrent dans la "vue d'ensemble". Lorsque nous sommes au milieu d'un conflit, le « brouillard d'information » de la guerre obscurcit et déforme souvent notre vision de l'efficacité d'une action particulière. Maintenant, plus de six mois après le début de la guerre, regardons en arrière et essayons de déterminer le rôle des cyberarmes jusque-là.
Plus de 1.100 XNUMX cyberattaques contre l'Ukraine
Selon le Service d'État ukrainien pour les communications spéciales et la protection de l'information (SSSCIP), le L'Ukraine a attaqué 1.123 XNUMX fois depuis le début de la guerre. 36,9 % des cibles étaient le gouvernement/la défense et les attaques consistaient en 23,7 % de code malveillant et 27,2 % en collecte de renseignements.
La composante cyber de la guerre a commencé près de 24 heures avant l'invasion terrestre. Dans mon journal du conflit, j'ai noté que les attaques DDoS et les attaques d'essuie-glace ont commencé vers 23 heures, heure locale, le 16 février. Immédiatement après, cela devenait très déroutant, car un grand nombre d'attaques et de techniques étaient utilisées en parallèle. Pour mieux analyser l'intensité, l'efficacité et les cibles, j'ai divisé ces attaques en quatre catégories : destruction, désinformation, hacktivisme et espionnage.
Stratégie 1 : Destruction
Étant donné que la guerre ne progressait pas comme prévu pour la Russie, certaines de ces techniques ont été utilisées différemment à différents stades de la guerre. La première et la plus évidente était la phase destructrice des logiciels malveillants. À partir de janvier 2022, selon le SSSCIP, des attaquants russes et pro-russes ont commencé à diffuser des logiciels malveillants d'effacement et de modification du secteur de démarrage visant à effacer le contenu d'un système ou à le rendre inutilisable. Ils ciblaient principalement les fournisseurs de services ukrainiens, les infrastructures critiques et les agences gouvernementales.
Ces attaques se sont poursuivies pendant les six premières semaines du conflit, puis se sont affaiblies. La majeure partie de cette activité s'est concentrée entre le 22 et le 24 février, c'est-à-dire juste avant et pendant l'invasion. Ces activités ont eu un impact sur divers systèmes en Ukraine, mais ne semblent finalement pas avoir eu d'impact positif sur le succès de l'invasion terrestre russe.
L'une des raisons pourrait être que quelques jours avant ces attentats, le gouvernement ukrainien a déplacé bon nombre de ses fonctions officielles en ligne vers une infrastructure cloud gérée et contrôlée par des tiers non impliqués dans les combats. Cela a évité les interférences et a permis à l'Ukraine de maintenir de nombreux services et de communiquer avec le monde. Cela rappelle une décision similaire lorsque la Géorgie a déplacé des sites Web clés du gouvernement vers des pays tiers lors des attaques DDoS de la Russie contre le pays en 2008.
L'attaque Viasat a été très efficace et a également touché les éoliennes allemandes
Une autre attaque dévastatrice a été l'attaque contre les modems de communication par satellite Viasat déployés à travers l'Europe centrale et orientale juste au début de l'invasion. Selon Raphael Satter de Reuters, un haut responsable ukrainien de la cybersécurité a expliqué que cela a entraîné "une perte de communication vraiment énorme dès le début de la guerre". Cette attaque a également infligé des dommages collatéraux aux membres de l'OTAN et perturbé, entre autres, le fonctionnement de plus de 5.800 XNUMX éoliennes en Allemagne.
C'est probablement la plus efficace de toutes les attaques menées jusqu'à présent pendant la guerre. Étant donné que la plupart des experts ont émis l'hypothèse que la Russie prévoyait une guerre de 72 heures, si cette stratégie fonctionnait, une interruption des communications militaires aurait pu avoir un impact négatif important sur l'Ukraine. De plus, les commandants ukrainiens ont pu se regrouper et établir des connexions alternatives pour minimiser les perturbations. Sur le long terme, la Russie s'est avérée beaucoup plus aux prises avec la chaîne de commandement que l'Ukraine. Peut-être en partie grâce au soutien d'entreprises technologiques telles que Microsoft et ESET, ainsi que d'agences de renseignement américaines, le succès de l'Ukraine à repousser les attaques destructrices a été impressionnant.
Le logiciel malveillant Industroyer2 a attaqué une société d'énergie ukrainienne
L'une des menaces de logiciels malveillants les plus sophistiquées ciblant les infrastructures critiques a été reconnue et neutralisée lorsqu'elle a été détectée sur le réseau d'un service public ukrainien. Le malware connu sous le nom d'Industroyer2 était une combinaison d'essuie-glaces traditionnels ciblant Windows, Linux et Solaris, et de logiciels malveillants spécifiques à ICS ciblant la technologie opérationnelle (OT) utilisée pour contrôler et surveiller le réseau électrique.
Microsoft a souligné dans un rapport récent que de nombreuses cyberattaques russes semblent avoir été coordonnées avec des attaques conventionnelles à Dnipro, Kiev et l'aéroport de Vinnytsia. Mais il n'y a toujours aucune preuve que la composante cybernétique ait contribué aux avancées apparentes de l'offensive russe. À mon avis, les cyber-opérations destructrices n'ont jusqu'à présent eu pratiquement aucun impact sur l'issue des événements de guerre réels. Ils ont donné du travail supplémentaire à beaucoup de gens et fait beaucoup de gros titres, mais ce qu'ils n'ont pas fait, c'est faire une réelle différence dans la guerre.
Stratégie 2 : désinformation
La stratégie de désinformation visait trois groupes : le peuple ukrainien, la Russie elle-même et le reste du monde. La Russie n'est pas étrangère à l'utilisation de la désinformation comme arme pour obtenir des résultats politiques. La mission initiale semble avoir envisagé une victoire rapide et l'utilisation d'un gouvernement fantoche. Avec ce plan, la désinformation serait critique dans deux sphères d'influence d'abord, puis dans trois sphères d'influence au fur et à mesure de sa progression.
La cible la plus évidente est le peuple ukrainien - il devrait (devrait) être convaincu que la Russie est un libérateur et éventuellement accepter un dirigeant pro-Kremlin. Bien que les Russes semblent avoir tenté de nombreuses formes d'influence via les SMS et les médias sociaux traditionnels, l'Ukraine, de plus en plus patriote, a rendu cette tentative peu susceptible de réussir dès le départ.
Désinformation à l'intérieur de la Russie
La Russie a eu beaucoup plus de succès avec la désinformation chez elle, sa deuxième cible la plus importante. Il a largement interdit les médias étrangers et indépendants, bloqué l'accès aux médias sociaux et criminalisé l'utilisation du mot "guerre" en relation avec l'invasion de l'Ukraine. Il est difficile d'évaluer réellement l'impact de ces actions sur la population en général, bien que les sondages suggèrent que la propagande fonctionne - ou du moins la seule opinion qui peut être exprimée publiquement est le soutien aux "opérations spéciales militaires".
La troisième cible de la désinformation alors que la guerre s'éternise est le reste du monde. Tenter d'influencer des pays non alignés comme l'Inde, l'Égypte et l'Indonésie peut contribuer à les décourager de voter contre la Russie lors des votes aux Nations Unies et potentiellement les persuader de soutenir la Russie.
Propagande pour les médias du monde entier
Les histoires propagées sur les laboratoires américains d'armes biologiques, la dénazification et le génocide présumé par l'armée ukrainienne visent à contester la représentation du conflit par les médias occidentaux. Une grande partie de cette activité semble provenir de personnes préexistantes générant de la désinformation plutôt que de comptes compromis ou de tout type de logiciel malveillant.
La désinformation a clairement un impact, mais tout comme les attaques destructrices, elle n'affecte en aucune façon directement l'issue de la guerre. Les civils n'accueillent pas les troupes russes comme des libérateurs, et les forces ukrainiennes ne déposent pas les armes et ne se rendent pas. Les États-Unis et l'Europe soutiennent toujours l'Ukraine et le peuple russe semble prudent mais pas rebelle. Plus particulièrement, ces derniers jours, les forces ukrainiennes ont repris des zones sous contrôle russe et ont même été accueillies en libérateurs par certains civils près de Kharkiv.
Stratégie 3 : Hacktivisme
🔎 Chester Wisniewski, chercheur principal chez Sophos (Image : Sophos).
Les pirates informatiques bien connus et très expérimentés de Russie et d'Ukraine utiliseraient-ils des cyber-armes et déclencheraient-ils des vagues d'attaques malveillantes, chacun soutenant son propre camp ? Il semblait que cela pourrait être le cas au début de la guerre. Certains groupes de cybercriminalité bien connus comme Conti et Lockbit ont immédiatement déclaré qu'ils étaient d'un côté ou de l'autre, mais la plupart d'entre eux ont dit qu'ils s'en fichaient et qu'ils continueraient comme d'habitude. Mais nous avons constaté une baisse significative des attaques de ransomwares pendant environ six semaines après l'invasion initiale. Le volume normal d'attaques a repris début mai, suggérant que les criminels, comme le reste d'entre nous, connaissaient des perturbations de la chaîne d'approvisionnement.
L'un des groupes les plus notoires, Conti, a fait des déclarations menaçantes contre l'Occident sur leur site de fuite, ce qui a conduit un chercheur ukrainien à révéler leur identité et leurs pratiques, conduisant finalement à leur dissolution.
La guerre interne à Conti a causé leur dissolution
D'un autre côté, les hacktivistes des deux côtés se sont mis en surmultiplication dans les premiers jours de la guerre. Les défigurations Web, les attaques DDoS et d'autres piratages triviaux ciblaient à peu près tout ce qui était vulnérable et clairement identifiable comme russe ou ukrainien. Cependant, la phase n'a pas duré longtemps et ne semble pas avoir d'effet durable. La recherche montre que ces groupes se sont rapidement ennuyés et sont passés à la distraction suivante. Ici aussi, les activités n'ont pas conduit à des effets matériels sur la guerre - mais à des farces, pour lesquelles les hacktivistes respectifs ont peut-être célébré. Par exemple, récemment, un groupe aurait piraté Yandex Taxi et commandé tous les taxis vers le centre de Moscou, provoquant un embouteillage.
Catégorie 4 : E-espionnage
La dernière catégorie est la plus difficile à quantifier, car évaluer l'impact de quelque chose qui est intrinsèquement obscur est intrinsèquement compliqué. La façon la plus prometteuse d'estimer l'étendue de l'espionnage pendant cette guerre est de regarder les moments où les tentatives ont été découvertes. Vous pouvez alors commencer à essayer d'extrapoler la fréquence à laquelle les tentatives auraient pu réussir, compte tenu de la fréquence à laquelle elles n'ont pas réussi.
Contrairement aux attaques destructrices, les attaques d'espionnage électronique sont utiles contre toutes les cibles ennemies, pas seulement l'Ukraine, en raison de leur nature secrète et de la difficulté associée à les identifier. Comme pour la désinformation, il y a beaucoup plus d'activités dans ce domaine ciblant les partisans de l'Ukraine que d'autres types d'attaques que les États-Unis et les alliés de l'OTAN pourraient injecter dans la guerre terrestre.
Plus de cyberattaques motivées par la guerre
Les allégations d'attaques contre des entreprises non ukrainiennes doivent être soigneusement examinées. Il n'est pas nouveau que la Russie cible les États-Unis, l'Union européenne et d'autres États membres de l'OTAN avec des logiciels malveillants, des attaques de phishing et des vols de données, mais dans certains cas, il existe des preuves irréfutables que les attaques sont spécifiquement motivées par la guerre en Ukraine.
En mars 2022, le groupe d'analyse des menaces (TAG) de Google a publié un rapport mettant en évidence les attaques de phishing russes et biélorusses ciblant des ONG et des groupes de réflexion basés aux États-Unis, l'armée d'un pays des Balkans et un sous-traitant de la défense ukrainien. Proofpoint a également publié des recherches montrant que des fonctionnaires de l'UE travaillant en faveur des réfugiés étaient la cible de campagnes de phishing lancées à partir d'un compte de messagerie ukrainien qui aurait été précédemment compromis par les services de renseignement russes.
Les attaques russes contre des cibles ukrainiennes n'ont pas faibli au cours des six derniers mois, profitant toujours des dernières vulnérabilités dès qu'elles sont rendues publiques. Par exemple, en juillet 2022, un groupe de cybercriminalité basé en Russie figurait parmi les principaux acteurs, c'est-à-direIls ont largement exploité une nouvelle vulnérabilité dans Microsoft Office appelée "Follina".. Il semble que l'une des cibles des documents malveillants dans cette campagne était les organisations médiatiques - un outil important pendant une guerre.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.