International
Guerre contre l'Ukraine

Pourquoi les hackers russes sont plus dangereux que jamais

KI-Illustration zur Bedrohung des Westens durch die russische Elitehackergruppe Sandworm.
Une illustration d'IA sur la menace que représente le groupe de pirates Sandworm pour l'Occident.Image: watson / DALL-E

Cette attaque inédite montre la dangerosité des hackers de Poutine

Des experts en sécurité informatique ont enquêté sur un piratage, jusqu'alors inconnu, du groupe «Sandworm» sur le réseau électrique ukrainien. Ils mettent désormais en garde les exploitants d'infrastructures du monde entier.
20.11.2023, 05:5520.11.2023, 10:56
Daniel Schurter
Daniel Schurter
Plus de «International»

Il y a encore des gens, même des spécialistes, qui sous-estiment le piratage de l'Etat russe.

Mais ce n'est pas parce que le front numérique est resté relativement calme depuis le début de la guerre contre l'Ukraine que nous devons nous bercer d'une fausse sécurité. C'est ce que montre un rapport publié la semaine dernière par Mandiant, une entreprise de sécurité informatique appartenant au groupe Google Alphabet.

👉 Suivez en direct la guerre contre l'Ukraine 👈

La conclusion désabusée des spécialistes en informatique est la suivante: à l'insu du public, la Russie continue de développer ses capacités cyber offensives et de tester la force de frappe de ses outils d'attaque en conditions réelles.

Que s'est-il passé?

L'unité 74455, connue sous le nom de Sandworm et rattachée au service de renseignement militaire russe GRU, a réussi pour la troisième fois à saboter le réseau électrique de l'Ukraine. L'attaque a eu lieu en octobre 2022 et a été longtemps tenue secrète par l'Ukraine et ses alliés occidentaux.

Aujourd'hui, Mandiant a rompu le silence.

Sandworm reste le seul groupe de pirates informatiques au monde à avoir déclenché des pannes de courant par des cyberattaques, constate le journaliste spécialisé dans les technologies Andy Greenberg (magazine Wired). Il s'intéresse depuis des années aux hackers d'élite russes et a publié en 2019 un livre passionnant sur Sandworm.

Andy Greenberg journaliste spécialisé dans la technologie et les hackers russes.
Le journaliste Andy Greenberg s'intéresse depuis plusieurs années aux hackers russes. Image: Justin Bishop

Andy Greenberg rappelle qu'au cours des dix dernières années, les hackers russes ont «éteint la lumière sur des centaines de milliers de civils ukrainiens», non pas une, mais deux fois.

Et maintenant, «au milieu de la vaste guerre russe», Sandworm aurait apparemment obtenu une autre distinction douteuse dans l'histoire de la cyberguerre:

«Ils ont attaqué la population civile en coupant l'électricité, tout en tirant des missiles sur leur ville – une combinaison brutale et sans précédent de guerre numérique et physique»

Selon Mandiant, la cyberattaque a coïncidé avec le début d'une série d'attaques de missiles russes contre des infrastructures critiques dans tout le pays. La coordination des attaques par le Kremlin ne peut toutefois pas être prouvée.

John Hultquist, directeur de l'analyse des menaces chez Mandiant, qui suit Sandworm depuis près d'une décennie et a donné son nom au groupe en 2014, déclare:

«Tout ce que je peux dire, c'est que cela a été mené par un acteur militaire et que cela a coïncidé avec une autre attaque militaire. Si c'était une coïncidence, c'était une coïncidence très intéressante.»
John Hultquist, directeur de l'analyse des menaces chez Mandiantwired.com

Une chose est sûre: deux jours après la panne de courant, les pirates ont utilisé un logiciel malveillant dit «wiper» pour effacer les disques durs de l'ensemble du réseau de la société de distribution d'énergie concernée. Il s'agissait probablement d'une tentative (infructueuse) de détruire des preuves qui ont ensuite été utilisées pour analyser leur intrusion.

Qu'est-ce qui rend la dernière cyberattaque si dangereuse?

La documentation détaillée du piratage de Mandiant montre comment le hacking des réseaux électriques par les services secrets militaires russes a évolué au fil du temps. Les pirates ont désormais agi de manière encore plus secrète et habile que lors des précédentes attaques contre l'approvisionnement en électricité de l'Ukraine.

  • En 2016, Sandworm a réussi à provoquer une panne d'électricité à Kiev, la capitale ukrainienne, à l'aide du malware «Industroyer» qu'il avait lui-même développé. Cette cyberattaque très complexe a consisté à manipuler les commandes d'une sous-station électrique à travers différents protocoles d'échange de données.
  • En 2022, une autre attaque de phlébotomes a eu lieu sur le réseau électrique ukrainien, où le groupe a utilisé une version plus récente de son malware appelée «Industroyer2». L'attaque a toutefois été repoussée.

1. Nouvelle technique de cyberattaque

Le dernier rapport Mandiant indique que les pirates russes ont utilisé une nouvelle technique ou tactique pour attaquer les systèmes de contrôle industriels (ICS).

Au lieu d'utiliser leurs propres logiciels malveillants sur mesure, ils ont utilisé des outils légitimes disponibles sur le réseau étranger pour passer d'un ordinateur à l'autre avant d'exécuter finalement un script automatisé.

Cette technique de cyberattaque, qui ne nécessite pas l'installation de logiciels malveillants par les pirates, est appelée par les spécialistes Living off the Land (LOTL).

Malgré des mesures de sécurité renforcées, les pirates ont pu accéder discrètement au logiciel du système de contrôle industriel de l'installation, appelé MicroSCADA, et l'ont désactivé en appuyant quasiment sur un bouton.

2. Attaques plus rapides

Les chercheurs en sécurité informatique de Mandiant expliquent en outre que la cyberattaque contre l'approvisionnement en électricité qui vient d'être rendue publique s'est déroulée beaucoup plus rapidement que les attaques précédentes. En 2016, par exemple, les pirates russes sont restés à l'affût pendant plus de six mois dans les systèmes informatiques du fournisseur d'électricité ukrainien avant de lancer leur attaque.

Or, il semblerait que les pirates n'aient eu accès aux systèmes de commande industriels que trois mois avant la panne de courant. Et la véritable attaque aurait été développée en deux mois à peine.

3. Plus difficile à découvrir

Selon le rapport Mandiant, Sandworm s'éloigne de l'utilisation d'outils d'attaque hautement complexes et taillés sur mesure pour des raisons d'efficacité. En effet, de tels outils nécessitent non seulement un immense effort de développement, mais ils laissent également des traces révélatrices dans le réseau étranger – ce qui risque d'entraîner une découverte hâtive.

En revanche, les attaques LOTL n'installent pas de fichiers et ne laissent pas de signatures, ce qui signifie qu'il est impossible de comparer ou de relier les attaques. Il est donc plus difficile de les empêcher à l'avenir.

Selon le rapport de Wired, l'agence nationale ukrainienne de cybersécurité SSSCIP a refusé de confirmer entièrement les révélations, mais ne les a pas non plus niées.

Les responsables n'ont pas voulu donner le nom du fournisseur d'électricité concerné ni celui de la ville. Il n'y a pas non plus d'informations fiables sur la durée de la panne de courant ni sur le nombre de personnes touchées. A l'approche de l'hiver, il faut s'attendre à une intensification des attaques à tous les niveaux.

Quelle est la leçon à en tirer?

Le rapport Mandiant confirme ce contre quoi les experts en sécurité informatique et les services secrets mettent en garde avec insistance depuis longtemps: les groupes de pirates informatiques étatiques les plus dangereux, comme Sandworm, élargissent en permanence leur arsenal de cyberarmes pour attaquer les systèmes dits OT.

Ce sigle signifie «Operational Technology» et désigne les systèmes informatiques industriels qui surveillent ou commandent des processus mécaniques.

Celui qui peut pirater les systèmes OT peut paralyser l'infrastructure critique de l'adversaire, qu'il s'agisse des moyens de transport ou de l'approvisionnement en électricité.

Le défi du point de vue du défenseur: les systèmes OT ne peuvent être protégés qu'au prix d'efforts considérables. Souvent, les programmes correspondants sont utilisés pendant des décennies et l'installation de mises à jour est négligée.

Enfin, il convient de répéter ce que les observateurs de longue date de Sandworm savent depuis longtemps: les hackers d'élite russes ne doivent en aucun cas être sous-estimés, même si la guerre en Ukraine a été relativement calme à leur sujet.

John Hultquist, analyste en chef chez Mandiant:

«On croit à tort que les attaques en Ukraine n'ont pas été à la hauteur des prévisions. Le fait est que les attaques ont été limitées par le travail extraordinaire des défenseurs ukrainiens et de leurs partenaires, qui ont travaillé sans relâche pour éviter une centaine de scénarios comme celui-ci.»
John Hultquist, directeur de l'analyse des menaces chez Mandianttheregister.com

En même temps, l'expert en sécurité informatique souligne que de telles attaques ne répondent pas à une nécessité militaire directe. Elles font partie de la guerre psychologique visant à restreindre de manière ciblée la population civile. Cela est bien sûr particulièrement efficace lorsqu'une cyberattaque contre l'approvisionnement en électricité a lieu pendant les mois d'hiver.

La bonne nouvelle du point de vue de l'Ukraine: comme plusieurs autres entreprises tech d'Europe et d'Amérique du Nord, Mandiant travaille en étroite collaboration avec le gouvernement ukrainien depuis le début de l'invasion russe en février 2022. En unissant leurs forces, ils ont jusqu'à présent réussi à repousser les attaques et à protéger la population.

Se reposer sur ses lauriers n'est pas une option, comme l'indiquent également les experts en sécurité de Mandiant dans leur rapport:

«Compte tenu de l'activité globale de Sandworm en matière de menaces et de l'utilisation mondiale des produits MicroSCADA, les exploitants d'installations du monde entier devraient prendre des mesures pour rendre leurs systèmes informatiques et OT étanches aux tactiques, techniques et procédures [des pirates].»

(Traduit et adapté par Chiara Lecca)

L'appartement des Zelensky en Crimée, vendu par la Russie
1 / 13
L'appartement des Zelensky en Crimée, vendu par la Russie
source: www.imago-images.de / imago images
partager sur Facebookpartager sur X
A Genève, vous pouvez marcher sous les bombes de Poutine
Video: watson
Ceci pourrait également vous intéresser:
1 Commentaire
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
1
Emmanuel Macron fait durer le suspense pour son futur premier ministre
Emmanuel Macron n'a toujours pas arrêté son choix. L'Elysée assure que le nom du successeur de Michel Barnier nom sera dévoilé vendredi matin.

Le nouveau premier ministre sera nommé vendredi matin par Emmanuel Macron, a annoncé jeudi soir l'Elysée.

L’article