Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyberattaques Russes : les professionnels en état d’alerte

juillet 2022 par Adam Meyers, SVP Intelligence chez CrowdStrike

À l’heure où le monde assiste aux attaques de la Russie contre l’Ukraine, les professionnels de la cybersécurité sont en état d’alerte maximum. Aux côtés des autorités et au sein des entreprises, ces experts surveillent l’utilisation des cybermenaces dans le cadre du conflit proprement dit tout en se préparant à l’éventualité d’attaques visant d’autres lieux, que ce soit à des fins de représailles ou de coercition.

Cette menace n’est pas nouvelle. La Russie mène de longue date des cyberopérations contre son voisin, principalement depuis les manifestations proeuropéennes Euromaïdan de novembre 2013. Le groupe VOODOO BEAR, autre dénomination de l’unité 74455 des services de renseignement russes, est l’un des principaux auteurs de ces attaques dont l’objectif semble être d’affaiblir, ou de saper la confiance que l’opinion publique accorde aux institutions étatiques et au secteur industriel de l’Ukraine.

VOODOO BEAR est à l’origine des perturbations qui ont touché différentes infrastructures critiques ukrainiennes et provoqué des pannes de courant en décembre 2015, puis en décembre 2016. En juin 2017, les opérations du groupe ont suscité une forte inquiétude aux quatre coins du monde, lorsqu’une attaque sur la chaîne d’approvisionnement visant l’Ukraine a entraîné le déploiement à grande échelle de NotPetya. Ce malware, dont les dommages ont été estimés à 10 milliards de dollars, a impacté des entreprises et des services publics dans le monde entier. D’autres groupes russes, tels que PRIMITIVE BEAR, ont pris part à cette campagne asymétrique de grande envergure menée contre l’Ukraine.

Naissance d’une cyberguerre

Lorsque Moscou a commencé à déployer des forces à la frontière ukrainienne, les cyberattaques visant l’Ukraine se sont également accélérées. Ainsi, une campagne de défiguration (avec des messages provocateurs) de sites gouvernementaux assortie de vols de données a eu lieu à la mi-janvier 2022. Celle-ci a été suivie par une attaque par malware destructeur de disques (« wiper »), baptisée Whispergate par les professionnels de la cybersécurité. Cette attaque a eu lieu dans la foulée d’une série de réunions entre les États-Unis et la Russie à propos du déploiement de troupes à proximité de la frontière ukrainienne. À la suite de ces attaques, des assaillants associés au groupe de menaces russe EMBER BEAR ont fait leur apparition sur le Dark Web, proposant à la vente des données volées lors des attaques.

En février dernier, plusieurs sites bancaires et gouvernementaux ukrainiens ont été pris pour cible par les services de renseignement militaire russes dans le cadre d’une attaque par déni de service distribué (DDoS) de grande ampleur. Cette offensive visait notamment les sites du ministère ukrainien de la Défense et des Forces armées, de la banque d’épargne nationale ukrainienne Oschadbank et l’application mobile de PrivatBank, la principale banque commerciale du pays. Dans le même temps, les clients ont reçu un SMS leur indiquant - à tort - que les guichets automatiques de ces établissements étaient hors service, tandis que des alertes à la bombe visaient plusieurs agences.

Le 23 février 2022, une deuxième attaque par « effaceur » a été identifiée. Baptisée DriveSlayer et techniquement plus sophistiquée que l’offensive WhisperGate lancée en janvier par EMBER BEAR, cette agression présentait des caractéristiques proches de celles de VOODOO BEAR. Le lendemain, plusieurs sites du gouvernement ukrainien ont affiché un message de défiguration avant de cesser de réagir aux demandes des internautes. Le texte était proche de celui qui avait visé des intérêts similaires le 14 janvier.

Peu après l’attaque DriveSlayer et la défiguration de ces différents sites, les troupes russes ont attaqué l’Ukraine. Dans les semaines qui ont suivi, de nombreux autres incidents ont été recensés, parmi lesquels des attaques par effaceur, ainsi que des tentatives de désinformation et d’espionnage contre des cibles ukrainiennes. Enfin, deux autres formes d’activités sont à noter dans le cadre de ce conflit : des attaques destructives visant les moyens de communications par satellite de l’Ukraine mais également des activités psychologiques ou de désinformation comprenant probablement l’amplification d’informations par des assaillants et leur propagation sur les réseaux sociaux.

Cybercriminels, le nouvel atout du Kremlin

Le conflit en Ukraine a également été marqué par l’implication de l’écosystème du cybercrime. C’est un fait important, car la Russie abrite depuis longtemps un réseau de cybercriminels qu’elle peut exploiter à des fins politiques. Ces adversaires ont désormais la possibilité d’agir en appui des objectifs du Kremlin, en agissant par exemple comme une composante officieuse qui lance des offensives perturbatrices à travers le monde, notamment aux États-Unis.

Dans le sillage immédiat de l’invasion de l’Ukraine, des groupes de cybercriminels, habituellement responsables d’activités malveillantes et motivés par l’appât du gain, ont commencé à réagir au conflit. Il s’est avéré que certains acteurs soutenaient directement les intérêts de l’État russe. À titre d’exemple, le groupe WIZARD SPIDER, apparu pour la première fois en 2016 avec son malware Trickbot et, plus récemment, en association avec des groupes de ransomwares tels que Ryuk ou Conti, a annoncé son plein soutien au gouvernement russe, ainsi que sa volonté de riposter contre les ennemis du Kremlin. D’autres groupes cybercriminels ont par ailleurs lancé des attaques DDoS contre des cibles ukrainiennes, ce qui ne correspond pas à leurs méthodes précédentes.

Alerte maximum

Même avec un niveau de sensibilisation suffisamment élevé, de nouvelles ressources et un soutien accru, les exploitants d’infrastructures critiques doivent appliquer de bonnes pratiques de cybersécurité : :

Tisser des liens avec les forces de l’ordre ou les services de sécurité du territoire qui pourront apporter leur aide en cas d’incident ;
Développer ou préserver l’accès au savoir-faire de collaborateurs qualifiés ou du personnel de support, ce qui comprend la mise en place d’un plan de réponse en cas d’incident et, dans de nombreux cas, la signature d’un contrat avec un fournisseur de services de réponse aux incidents (IR), expert dans ce type de prestation ;
Concernant les entreprises américaines, tirer parti des mesures identifiées dans l’Executive Order 14028 relatif à l’amélioration de la cybersécurité de la nation (Improving the Nations’s Cybersecurity) : utilisation d’outils et de concepts de sécurité informatique d’entreprise de nouvelle génération : authentification multifactorielle (MFA), ou détection et intervention sur les postes de travail et serveurs d’application (EDR) ; journalisation efficace ; migration, si possible, vers des applications hébergées directement dans le cloud sous forme de service SaaS ; mise en œuvre d’une architecture Zero Trust ; et chasse proactive aux menaces au sein du réseau des adversaires ;
Utiliser, le cas échéant, les outils et les moyens spéciaux que requiert la sécurité des technologies opérationnelles (OT).

En ce qui concerne les entreprises qui emploient moins de 6 ou 8 employés dédiés à la cybersécurité, l’adoption croissante de fournisseurs de services de sécurité managés (MSSP) et/ou de détection et réponse managées (MDR) est l’un des facteurs qui a probablement le plus contribué à améliorer leurs postures de sécurité. Cette tendance doit être encouragée, compte tenu du niveau de menace actuel et à venir.
En dehors de l’Ukraine, les cyberactivités orchestrées à ce jour par Moscou dans le cadre de ce conflit ont été modestes par rapport aux craintes initiales. Toutefois, la situation peut évoluer à tout moment, certains signes laissant à penser que la Russie pourrait se montrer plus agressive en représailles au soutien qu’apportent plusieurs pays à l’Ukraine et aux lourdes sanctions imposées aux individus et entités russes. Les exploitants d’infrastructures critiques doivent par conséquent rester en état d’alerte maximum. Grâce à la vaste couverture médiatique, aux initiatives des gouvernements et aux avertissements décrits ci-dessus, les entreprises privées semblent avoir reçu le message.


Voir les articles précédents

    

Voir les articles suivants