Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La guerre entre la Russie et l’Ukraine, un an après

février 2023 par Check Point Research (CPR)

• Un an après le début de la guerre entre la Russie et l’Ukraine, Check Point Research (CPR) révèle que la situation en septembre 2022 a marqué un tournant dans les cyberattaques liées au conflit.
• Comparaison entre les périodes de mars à septembre 2022 et octobre 2022 à février 2023 :
• CPR constate une diminution de 44% du nombre moyen d’attaques hebdomadaires par entreprise contre l’Ukraine, passant de 1 555 attaques à 877.
• CPR identifie une augmentation de 9% du nombre moyen d’attaques hebdomadaires par entreprise contre la Fédération de Russie, passant de 1 505 à 1 635.
• CPR identifie une augmentation du nombre moyen d’attaques hebdomadaires contre certains pays de l’OTAN :
• Légère augmentation au Royaume-Uni et aux États-Unis, respectivement de 11 % et 6 %.
• Forte augmentation en Estonie, en Pologne et au Danemark, qui sont respectivement à 57%, 31% et 31%.
• Au vu de ces statistiques, CPR montre qu’à partir d’octobre 2022, on assiste à un déplacement des cyberattaques en lien avec la guerre, tandis que beaucoup plus d’efforts dans le domaine cyber sont désormais déployés envers les pays de l’OTAN plutôt qu’envers l’Ukraine.

L’invasion de l’Ukraine par la Russie en février 2022 a été l’événement géopolitique le plus marquant de l’année écoulée. En plus d’être le conflit militaire le plus sanglant en Europe depuis des décennies, la guerre jette un nouvel éclairage sur plusieurs questions, notamment la puissance militaire réelle de la Russie et sa position dans la hiérarchie mondiale, l’équilibre des pouvoirs entre la Russie et l’Occident, la dépendance de l’Europe vis-à-vis des sources d’énergie extérieures et l’effet sur les prix mondiaux de l’énergie et l’économie mondiale.

D’autres ramifications ont été observées dans le domaine de la cybersécurité, car il s’agit de la première grande guerre hybride qui fait du cyberespace un front de bataille au même titre que d’autres fronts cinétiques majeurs. Nous avons tiré plusieurs leçons concernant les dommages collatéraux de la cyber, à savoir l’efficacité des malware destructeurs, l’attribution des cyberactivités en temps de guerre, la différenciation entre les activités offensives de l’État-nation, de l’hacktivisme et de la cybercriminalité, les cyber hostilités et leurs effets sur les pactes de défense, la capacité des cyber opérations à contribuer à la guerre tactique et la préparation nécessaire. Dans certains domaines, on peut déjà constater les répercussions sur l’arène cyber mondiale.

L’essor des wipers

CPR a également été témoin d’une transformation majeure de la perception des malware wiper, qui perturbent les opérations des systèmes ciblés, en raison de la guerre. Jusqu’à présent, les wipers étaient rarement utilisés. Pourtant, au cours de l’année écoulée, les wipers sont devenus un mécanisme beaucoup plus fréquemment déployé à l’occasion de l’escalade des conflits, et pas seulement en Europe de l’Est.

Au début de la guerre russo-ukrainienne, on a assisté à une augmentation massive des cyberattaques perturbatrices menées par des acteurs de la menace affiliés à la Russie contre l’Ukraine. À la veille de l’invasion terrestre en février, trois wipers ont été déployés : HermeticWiper, HermeticWizard et HermeticRansom. Une autre attaque a été dirigée contre le réseau électrique ukrainien en avril, à l’aide d’une nouvelle version d’Industroyer, un malware qui avait été utilisé dans une attaque similaire en 2016. Au total, au moins neuf wipers différents ont été déployés en Ukraine en moins d’un an. Nombre d’entre eux ont été développés séparément par divers services de renseignement russes et utilisent différents mécanismes d’effacement et d’évasion.

Le groupe hacktiviste From Russia With Love (FRwL), affilié à la Russie, a déployé Somnia contre des cibles ukrainiennes. Le malware CryWiper a été déployé contre des municipalités et des tribunaux en Russie. Inspirée par ces événements, l’activité des wipers s’est étendue à d’autres régions. Des groupes affiliés à l’Iran ont attaqué des cibles en Albanie, et un mystérieux ransomware Azov, qui est en fait un wiper destructeur de données, s’est répandu dans le monde entier.

Des efforts cyber à plusieurs échelles

Si l’on examine les attaques contre l’Ukraine, certaines des cyberactions offensives visaient à provoquer des dommages et à perturber la vie quotidienne et le moral des civils, tandis que d’autres attaques étaient plus précisément ciblées et visaient des objectifs tactiques, et étaient coordonnées avec les combats. L’attaque de Viasat, qui a été déployée quelques heures avant l’invasion terrestre de l’Ukraine, avait pour but de perturber les communications par satellite qui fournissent des services aux entités militaires et civiles en Ukraine. L’attaque a utilisé un wiper appelé AcidRain et a été conçue pour détruire les modems et les routeurs et couper l’accès Internet de dizaines de milliers de systèmes. Autre exemple d’une attaque tactique coordonnée, celle du 1er mars. La tour de télévision de Kiev a été frappée par des missiles russes qui ont interrompu les émissions de télévision de la ville. De plus, une cyberattaque a été lancée pour intensifier les effets.

Les cyber attaques tactiques de haute précision requièrent une certaine préparation et une véritable planification. Les conditions préalables comprennent un accès aux réseaux ciblés et souvent la création d’outils personnalisés pour les différentes étapes de l’attaque. Tout comme dans le cas de la bataille cinétique, des éléments suggèrent que les Russes ne se sont pas préparés à une longue campagne. Les caractéristiques des cyber opérations, qui au départ comprenaient des attaques précises avec des objectifs tactiques clairs, comme l’attaque contre Viasat qui a changé depuis avril. Le déploiement de multiples nouveaux outils et wipers qui était caractéristique des premières étapes de la campagne a ensuite été remplacé en grande partie par des exploitations rapides de l’opportunité détectée, en utilisant des outils et des tactiques d’attaque déjà connus comme Caddywiper et FoxBlade. Ces attaques n’étaient pas censées agir de concert avec les efforts de combat tactique, mais plutôt infliger des dommages tant physiques que psychologiques à la population civile ukrainienne dans tout le pays.

Selon les données de CPR, une baisse progressive mais importante du nombre d’attaques par passerelle en Ukraine s’est amorcée au troisième trimestre de 2022. D’un autre côté, les attaques contre les membres de l’OTAN ont connu une augmentation significative. Si l’augmentation des attaques contre le Royaume-Uni et les Etats-Unis depuis septembre est mince (11% et 6% respectivement), celle contre certains des pays de l’UE qui manifestent une hostilité accrue à l’égard de la Russie, comme l’Estonie, la Pologne et le Danemark, est beaucoup plus marquée (57%, 31% et 31% respectivement). Cela traduit un changement dans le modus operandi et les priorités de la Russie, et des groupes affiliés à la Russie, dans le domaine de la cyber, qui s’est ensuite déplacé de l’Ukraine vers les pays de l’OTAN qui soutiennent l’Ukraine.

La réaction de l’Ukraine aux cyber-affaires de l’année dernière s’est améliorée, le directeur de l’agence britannique de renseignement, de cyber-sécurité et de sécurité la qualifiant de « cyber-activité défensive la plus efficace de l’histoire ». Leur succès s’explique en partie par le fait que l’Ukraine a subi des cyberattaques répétées depuis 2014. Comme le disait si bien Lycurgue, le législateur spartiate légendaire, « La répétition des attaques contre les mêmes adversaires peut avoir pour effet d’améliorer leurs capacités militaires. » Par exemple, l’effet de l’attaque Indistroyer2 sur le secteur de l’énergie en mars 2022 a été limité par rapport au premier déploiement d’Industroyer en 2016. L’Ukraine a reçu une aide extérieure importante pour réparer les conséquences de ces cyberattaques. Aidée par des gouvernements étrangers et des entreprises privées, l’Ukraine a rapidement transféré une grande partie de son infrastructure informatique vers le cloud, éloignant ainsi physiquement ses centres de données des zones de combat et obtenant des couches de protection supplémentaires de la part des fournisseurs de services.

L’émergence de l’hacktivisme

La création et la gestion de la « IT Army of Ukraine », une armée de spécialistes informatiques bénévoles, a transformé l’hacktivisme. Anciennement caractérisés par une coopération lâche entre individus dans le cadre d’une collaboration ad hoc, les groupes de nouveaux hacktivistes ont renforcé leur niveau d`organisation et de contrôle, et mènent désormais des opérations de type militaire. Ce nouveau mode de fonctionnement comprend le recrutement et la formation, le partage des outils, le renseignement et la répartition des cibles, etc. L’activité des hacktivistes anti-russes s’est poursuivie tout au long de l’année, impactant les infrastructures, les entités financières et gouvernementales.

Les données de Check Point Research montrent que les attaques contre les entreprises en Russie ont considérablement augmenté depuis septembre 2022, notamment contre le gouvernement et les secteurs militaires en Russie.

La plupart des groupes de nouveaux hacktivistes ont une idéologie politique claire et cohérente qui est affiliée aux discours du gouvernement. L’activité des hacktivistes pro-russes a cessé de viser principalement des cibles ukrainiennes pour se concentrer sur les États membres de l’OTAN voisins et d’autres alliés occidentaux. Killnet a exécuté des attaques DDoS ciblées contre des infrastructures essentielles aux États-Unis, visant des entreprises de santé, des hôpitaux et des aéroports aux États-Unis. Le groupe de hacktivistes NoName057(16), affilié à la Russie, a ciblé l’élection présidentielle tchèque. Certaines entités cybercriminelles ont été contraintes de se joindre à l’effort national et ont dû réduire leur activité criminelle. Les attaques contre les entreprises russes, qui étaient autrefois considérées interdites par de nombreuses entités de cybercriminalité, se sont multipliées. La Russie est aux prises avec une vague aux prises avec une vague de piratage sans précédent causée par l’activité gouvernementale, l’hacktivisme politique et des actions criminelles. Les frontières entre l’activité des États-nations, l’hacktivisme et la cybercriminalité sont de plus en plus floues et difficiles à distinguer.

Certains acteurs des États-nations ont aussi mis à profit la guerre pour promouvoir leurs propres intérêts. CPR a signalé plusieurs campagnes menées par différents groupes APT qui se sont servis de la guerre russo-ukrainienne actuelle pour accroître l’efficacité de leurs campagnes, et ce dès le début du conflit. Par ailleurs, d’autres nations ont renforcé leurs activités d’espionnage en Russie pour cibler les institutions de défense russes appartenant à l’État. Cloud Atlas n’a cessé de cibler des entités russes et bélarussiennes.

Envisager l’avenir

Le conflit russo-ukrainien a affecté les cybers tactiques dans de multiples domaines. Nous estimons que tant que la guerre se poursuit, ses développements continueront sans aucun doute à impacter le reste des régions et des domaines.


Voir les articles précédents

    

Voir les articles suivants