Un an de guerre Russie-Ukraine

Date : 07 Février 2023

Plusieurs organisations ont publié des analyses sur les aspects cyber de la guerre Russe-Ukraine. Voici une synthèse de ce que nous avons retenu de 3 publications de ce type.

 

Podcast « Le Comptoir Sécu » du 25/12/2022

Cet épisode consacré à la guerre Russie-Ukraine fait les constats suivants :

  • Le cyber est une nouvelle arme, qui complète les armes conventionnelles (aviation, artillerie, infanterie, etc.), mais ne les remplace pas.
  • Il a surtout été utilisé pour les opérations de reconnaissance, de déstabilisation et de propagande.
  • La mise en œuvre d’une attaque cyber avancée est complexe. Il ne suffit pas de trouver un 0-day, il faut mettre au point une mission complète. C’est long et cher.
  • La destruction une cible au moyen d’une attaque cyber est complexe, souvent incertaine et en général non définitive car l’adversaire parvient assez rapidement à remettre en service. Pour des actions de destruction, les armes conventionnelles (missiles) semblent donc plus simples à mettre en œuvre et plus efficaces.
  • L’Ukraine a bien résisté aux cyber-attaques, peut-être parce qu’elle a l’habitude de ces situations avec les cyber-attaques russes qu’elle subit depuis 2013.
  • D’après ce qui est connu, il y a surtout eu  desattaques de Wipers. Quelques attaques visant à couper des communications ont aussi été vues au début du conflit (attaque du satellite KA-SAT, attaques sur une cinquantaine de core-routers).
  • Le mouvement Hactiviste est un phénomène marquant, avec la mobilisation d’un grand nombre de groupes, pour défendre l’Ukraine (36 groupes pro-ukrainiens ont été identifiés, avec par exemple l’IT Army of Ukraine) ou pour défendre la Russie (42 groupes pro-russes ont été identifiés, avec par exemple le groupe Killnet). Il a été vu aussi des groupes hacktivistes aux motivations non définies (6 groupes dans cette catégorie, qui semblent être des groupes chinois).
  • Le mouvement Hacktiviste a réussi à mettre en difficultés certaines victimes, mais globalement l’effet de ces attaques a été plutôt marginal.
  • On peut noter le rôle important qu’ont joué des acteurs privés comme Microsoft (qui a aidé les administrations Ukrainienne) et Amazon (qui a aidé la banque centrale). Les civils ont aussi été mis à contribution (par exemple pour signaler le passage de drones). Et il y a eu aussi des actions d’OSINT (recherche de renseignements en sources ouvertes) menées par des civils (par exemple pour identifier les combattants russes). Cette implication de sociétés ou de particuliers (à travers le monde)  est un phénomène un peu nouveau par rapport aux conflits traditionnels.
  • La guerre a mis en évidence des questions que l’on ne s’était pas posées jusqu’à présent : migrer les données dans le Cloud permet de se protéger d’attaques physiques, mais quid de la souveraineté si les données partent à l’étranger ? Les datacenters sont-ils des espaces surs si on peut les bombarder ? Comment fait-on quand certains logiciels utilisés sont potentiellement contrôlés par l’ennemi (Kasperky, Nginx et Veeam sont des logiciels russes à l’origine).

 

Sekoia : One year after - the cyber implications of the russo-ukrainian war

Dans cet article daté du 21/02/2023, Sekoia fait les constats suivants :

  • Il y a eu un nombre important d’attaques au moyen de Wipers (Sekoia en dénombre 12, alors que Google en compte 6, les autres étant des variantes) et quelques actions destructrices (comme l’attaque de modems du satellite KA-SAT), mais il n’y a pas eu de cyber-attaques de grande envergure comme on pouvait le redouter.
  • Les actions destructrices (ex. les Wipers) ont été menées par le GRU (qui dépend de l’armée Russe) alors que le FSB (la sécurité intérieure) et le SVR (la sécurité extérieure) ont mené des attaques de reconnaissance et d’espionnage (campagnes de phishing et d’intrusions).
  • Les wipers ont été plutôt simples techniquement, sans capacité de propagation automatique, probablement pour éviter des effets de diffusion massive comme ce qui avait été vu en 2017 avec NotPetya.
  • Des opérations d’influence (Info Ops) ont été menées par la Russie et la Biélorussie en particulier pour développer un sentiment anti-NATO dans les pays de l’est (Ukraine, Pologne, Lituanie et Lettonie). L’analyse de Google sur ce sujet diffère (voir ci-dessous) et parle principalement d'opérations d'influence visant les citoyens russes.
  • Les mouvements hacktivistes pro-Russes (comme Killnet) ou pro-Ukrainiens (comme IT Army of Ukraine) ont été très actifs. Leurs actions ont été nombreuses et ont beaucoup occupé l’actualité. Ils ont réalisé des attaques DDOS, quelques attaques de ransomware (pour bloquer des organisations plutôt que pour réclamer de l’argent) et des opérations de hack-and-leak (vol de données dans le but de les rendre publiques). Il s’agit donc essentiellement d’action de déstabilisation et d’atteinte à l’image.
  • Les cybercriminels sont restés plutôt à l’écart du conflit. Certains groupes ont été désorganisés ou se sont dissous (par exemple. Conti), quelque uns ont réalisé des actions isolées, mais la plupart ont poursuivi leurs activités, sans interagir avec le conflit.

 

Google : Fog of war - how the Ukraine conflict transformed the cyber threat landscape

Google a publié son rapport le 16/02/2023. Un webcast de 30 minutes est aussi disponible. L’analyse de Google est structurée en 3 chapitres :

  • Les Attaque Etatiques,
  • Les Operations d’Information (Opérations d’influences),
  • Le Cybercrime.

Attaques étatiques

Les attaques cyber de préparation ont commencé longtemps avant la guerre. Google donne un chronogramme sur les attaques de phishing (souvent la première étape dans une intrusion) qui montre des campagnes massives en avril 2021 (visant l’Ukraine) et fin septembre 2021 (visant peut-être des pays de l’OTAN, mais Google n’est pas très clair sur cet aspect).

Un grand nombre d’attaques de Wipers ont été réalisées tout au long de l’année 2022. Ces attaques sont menées presque exclusivement par le GRU (l’armée Russe, par opposition au FSB ou SVR). Une accalmie a été notée en août et septembre et cela correspond probablement à un moment où la Russie a donné la priorité aux opérations d’espionnages et de collecte d’informations (déclencher un Wipers et espionner étant 2 actions peu conciliables sur un même périmètre).

Les Opérations d’Information

Les actions menées par la Russie dans ce domaine ont ciblé principalement les citoyens russes.

Nota : nous n’avons pas approfondi cet aspect car il s’éloigne du sujet de la protection des systèmes informatiques.

Cybercrime :

La guerre a provoqué des perturbations au niveau des activités cybercriminelles et en particulier pour les groupes de ransomware. Certains groupes (comme Conti) se sont scindés en deux en fonction de leurs convictions (pro-Russe ou pro-Ukraine), certains acteurs ont stoppé leurs activités (le développeur de l’infostealer Raccoon a été arrêté après avoir quitté l’Ukraine). La règle de non-agression entre pays de l’ancienne zone URSS qui avait cours jusque-là (la plupart des ransomware refusant de s’exécuter dans ces pays) est moins respectée désormais. Il a été observé des cas d’attaques de ransomware visant la Russie et des attaques de groupes cybercriminels contre l’Ukraine. Par contre il n’a pas été observé d’augmentation des attaques visant les infrastructures critiques aux Etats-Unis et dans les pays de l’OTAN.

 

Globalement le rapport de Google indique qu’il y a eu un nombre important d’attaques russes, mais pour un résultat plutôt mitigé (pour les attaques étatiques aussi bien que pour les opérations d’information). Google dit que ces attaques contre l’Ukraine et les pays de l’OTAN vont malheureusement se poursuivre.

Nota : Le rapport de Google mentionne que le groupe russe Sandworm (baptisé Frozenbarents par Google) a attaqué en mars 2022 l’entreprise turque Baykar qui fabrique des drones militaire TB2 (utilisés par l’Ukraine au début de la guerre). A notre connaissance, cette attaque n’était pas connue jusque-là.

 

Autres rapports d’analyse

Voici quelques autres ressources qui tracent un bilan sur les aspects cyber de la guerre Russie Ukraine.

Précedent Précedent Suivant Suivant Imprimer Imprimer

© 2024 Cert-IST