Il y a encore des gens, même des spécialistes, qui sous-estiment le piratage de l'Etat russe.
Mais ce n'est pas parce que le front numérique est resté relativement calme depuis le début de la guerre contre l'Ukraine que nous devons nous bercer d'une fausse sécurité. C'est ce que montre un rapport publié la semaine dernière par Mandiant, une entreprise de sécurité informatique appartenant au groupe Google Alphabet.
👉 Suivez en direct la guerre contre l'Ukraine 👈
La conclusion désabusée des spécialistes en informatique est la suivante: à l'insu du public, la Russie continue de développer ses capacités cyber offensives et de tester la force de frappe de ses outils d'attaque en conditions réelles.
L'unité 74455, connue sous le nom de Sandworm et rattachée au service de renseignement militaire russe GRU, a réussi pour la troisième fois à saboter le réseau électrique de l'Ukraine. L'attaque a eu lieu en octobre 2022 et a été longtemps tenue secrète par l'Ukraine et ses alliés occidentaux.
Aujourd'hui, Mandiant a rompu le silence.
Sandworm reste le seul groupe de pirates informatiques au monde à avoir déclenché des pannes de courant par des cyberattaques, constate le journaliste spécialisé dans les technologies Andy Greenberg (magazine Wired). Il s'intéresse depuis des années aux hackers d'élite russes et a publié en 2019 un livre passionnant sur Sandworm.
Andy Greenberg rappelle qu'au cours des dix dernières années, les hackers russes ont «éteint la lumière sur des centaines de milliers de civils ukrainiens», non pas une, mais deux fois.
Et maintenant, «au milieu de la vaste guerre russe», Sandworm aurait apparemment obtenu une autre distinction douteuse dans l'histoire de la cyberguerre:
Selon Mandiant, la cyberattaque a coïncidé avec le début d'une série d'attaques de missiles russes contre des infrastructures critiques dans tout le pays. La coordination des attaques par le Kremlin ne peut toutefois pas être prouvée.
John Hultquist, directeur de l'analyse des menaces chez Mandiant, qui suit Sandworm depuis près d'une décennie et a donné son nom au groupe en 2014, déclare:
Une chose est sûre: deux jours après la panne de courant, les pirates ont utilisé un logiciel malveillant dit «wiper» pour effacer les disques durs de l'ensemble du réseau de la société de distribution d'énergie concernée. Il s'agissait probablement d'une tentative (infructueuse) de détruire des preuves qui ont ensuite été utilisées pour analyser leur intrusion.
La documentation détaillée du piratage de Mandiant montre comment le hacking des réseaux électriques par les services secrets militaires russes a évolué au fil du temps. Les pirates ont désormais agi de manière encore plus secrète et habile que lors des précédentes attaques contre l'approvisionnement en électricité de l'Ukraine.
Le dernier rapport Mandiant indique que les pirates russes ont utilisé une nouvelle technique ou tactique pour attaquer les systèmes de contrôle industriels (ICS).
Au lieu d'utiliser leurs propres logiciels malveillants sur mesure, ils ont utilisé des outils légitimes disponibles sur le réseau étranger pour passer d'un ordinateur à l'autre avant d'exécuter finalement un script automatisé.
Cette technique de cyberattaque, qui ne nécessite pas l'installation de logiciels malveillants par les pirates, est appelée par les spécialistes Living off the Land (LOTL).
Malgré des mesures de sécurité renforcées, les pirates ont pu accéder discrètement au logiciel du système de contrôle industriel de l'installation, appelé MicroSCADA, et l'ont désactivé en appuyant quasiment sur un bouton.
Les chercheurs en sécurité informatique de Mandiant expliquent en outre que la cyberattaque contre l'approvisionnement en électricité qui vient d'être rendue publique s'est déroulée beaucoup plus rapidement que les attaques précédentes. En 2016, par exemple, les pirates russes sont restés à l'affût pendant plus de six mois dans les systèmes informatiques du fournisseur d'électricité ukrainien avant de lancer leur attaque.
Or, il semblerait que les pirates n'aient eu accès aux systèmes de commande industriels que trois mois avant la panne de courant. Et la véritable attaque aurait été développée en deux mois à peine.
Selon le rapport Mandiant, Sandworm s'éloigne de l'utilisation d'outils d'attaque hautement complexes et taillés sur mesure pour des raisons d'efficacité. En effet, de tels outils nécessitent non seulement un immense effort de développement, mais ils laissent également des traces révélatrices dans le réseau étranger – ce qui risque d'entraîner une découverte hâtive.
En revanche, les attaques LOTL n'installent pas de fichiers et ne laissent pas de signatures, ce qui signifie qu'il est impossible de comparer ou de relier les attaques. Il est donc plus difficile de les empêcher à l'avenir.
Selon le rapport de Wired, l'agence nationale ukrainienne de cybersécurité SSSCIP a refusé de confirmer entièrement les révélations, mais ne les a pas non plus niées.
Les responsables n'ont pas voulu donner le nom du fournisseur d'électricité concerné ni celui de la ville. Il n'y a pas non plus d'informations fiables sur la durée de la panne de courant ni sur le nombre de personnes touchées. A l'approche de l'hiver, il faut s'attendre à une intensification des attaques à tous les niveaux.
Le rapport Mandiant confirme ce contre quoi les experts en sécurité informatique et les services secrets mettent en garde avec insistance depuis longtemps: les groupes de pirates informatiques étatiques les plus dangereux, comme Sandworm, élargissent en permanence leur arsenal de cyberarmes pour attaquer les systèmes dits OT.
Ce sigle signifie «Operational Technology» et désigne les systèmes informatiques industriels qui surveillent ou commandent des processus mécaniques.
Celui qui peut pirater les systèmes OT peut paralyser l'infrastructure critique de l'adversaire, qu'il s'agisse des moyens de transport ou de l'approvisionnement en électricité.
Le défi du point de vue du défenseur: les systèmes OT ne peuvent être protégés qu'au prix d'efforts considérables. Souvent, les programmes correspondants sont utilisés pendant des décennies et l'installation de mises à jour est négligée.
Enfin, il convient de répéter ce que les observateurs de longue date de Sandworm savent depuis longtemps: les hackers d'élite russes ne doivent en aucun cas être sous-estimés, même si la guerre en Ukraine a été relativement calme à leur sujet.
John Hultquist, analyste en chef chez Mandiant:
En même temps, l'expert en sécurité informatique souligne que de telles attaques ne répondent pas à une nécessité militaire directe. Elles font partie de la guerre psychologique visant à restreindre de manière ciblée la population civile. Cela est bien sûr particulièrement efficace lorsqu'une cyberattaque contre l'approvisionnement en électricité a lieu pendant les mois d'hiver.
La bonne nouvelle du point de vue de l'Ukraine: comme plusieurs autres entreprises tech d'Europe et d'Amérique du Nord, Mandiant travaille en étroite collaboration avec le gouvernement ukrainien depuis le début de l'invasion russe en février 2022. En unissant leurs forces, ils ont jusqu'à présent réussi à repousser les attaques et à protéger la population.
Se reposer sur ses lauriers n'est pas une option, comme l'indiquent également les experts en sécurité de Mandiant dans leur rapport:
(Traduit et adapté par Chiara Lecca)