Un nouveau rapport de Microsoft a révélé qu’au moins six acteurs distincts de l’État-nation russe ont lancé des cyber-attaques dommageables contre l’Ukraine depuis le début de l’invasion plus tôt cette année.
Le étude (PDF), publié hier (27 avril), détaille comment les chercheurs de Microsoft ont suivi au moins 237 « cyberopérations » en provenance de Russie.
Ces attaques « ont non seulement dégradé les systèmes des institutions en Ukraine, mais ont également cherché à perturber l’accès des personnes à des informations fiables et à des services essentiels à la vie dont dépendent les civils, et ont tenté d’ébranler la confiance dans les dirigeants du pays », déclare Microsoft.
Cela survient plus de deux mois après que les troupes russes ont envahi l’Ukraine voisine, déclenchant le début d’une guerre qui a jusqu’à présent fait des dizaines de milliers de morts.
Coups directs
Microsoft a observé que ces cyberattaques étaient « fortement corrélées et parfois directement synchronisées » avec les opérations militaires cinétiques de la Russie ciblant des services et des institutions cruciaux pour les civils.
« Par exemple, un acteur russe a lancé des cyber-attaques contre une grande société de radiodiffusion le 1er mars, le jour même où l’armée russe a annoncé son intention de détruire des cibles ukrainiennes de « désinformation » et a dirigé une frappe de missile contre une tour de télévision à Kiev », a déclaré le détails du rapport.
Jusqu’à 32 % des attaques destructrices visaient directement des organisations gouvernementales ukrainiennes aux niveaux national, régional et municipal, tandis que plus de 40 % des attaques visaient des organisations dans des secteurs d’infrastructures critiques qui pourraient avoir des effets négatifs de second ordre sur le gouvernement ukrainien. , militaires, économiques et civils.
Un diagramme détaillant certains des acteurs de l’État-nation identifiés par Microsoft
« Au moins six groupes de cybermenaces russes connus ou suspectés, en plus d’autres acteurs de la menace non attribués, sont engagés dans des activités allant de la reconnaissance et du phishing pour l’accès initial au mouvement latéral omniprésent, au vol de données et à la suppression de données », selon Microsoft.
« Les multiples phases de leurs opérations suggèrent que ces acteurs se positionnent pour des compromis et un impact continus sur les réseaux ukrainiens pendant toute la durée de ce conflit et au-delà. »
Les groupes d’États-nations mentionnés dans le rapport incluent l’unité GRU 74455, alias Sandworm, également connue sous le nom d’Iridium, qui, selon Microsoft, est responsable des logiciels malveillants FoxBlade Wiper, CaddyWiper et Industroyer2. GRU est le renseignement militaire russe.
Le rapport mentionne également Nobellium, alias APT29, qui serait dirigé par le service russe de renseignement extérieur, qui a été vu en train d’utiliser la pulvérisation de mots de passe et des attaques de phishing contre des cibles diplomatiques ukrainiennes et membres de l’OTAN.
Microsoft a déclaré que ces attaques utilisaient diverses techniques pour obtenir un accès initial à leurs cibles, notamment le phishing, l’utilisation de vulnérabilités non corrigées et la compromission des fournisseurs de services informatiques en amont.
Le géant de la technologie a également noté comment les cyber-attaquants modifient souvent leurs logiciels malveillants à chaque déploiement pour échapper à la détection. «Notamment, notre rapport attribue des attaques de logiciels malveillants d’effacement que nous avons précédemment divulguées à un acteur d’État-nation russe que nous appelons Iridium», a ajouté Microsoft.
LIRE LA SUITE Un essuie-glace de données déployé dans des cyberattaques ciblant des systèmes ukrainiens
L’effaceur de données spécifique à Windows est apparu sur « des centaines de machines », selon la télémétrie de la société de sécurité de l’information ESET, dans les jours qui ont suivi l’invasion.
L’essuie-glace abuse des pilotes légitimes du logiciel EaseUS Partition Master afin de corrompre les données.
Bien que principalement dirigée vers l’Ukraine, la souche de logiciels malveillants « HermeticWiper » a également été détectée dans les États baltes de Lettonie et de Lituanie.
Les horodatages sur le malware indiquent qu’il a été compilé deux mois avant l’invasion – preuve que la cyber-attaque était préméditée.
Escalade continue
« Étant donné que les acteurs de la menace russe ont reproduit et intensifié les actions militaires, nous pensons que les cyberattaques continueront de s’intensifier à mesure que le conflit fait rage », a conclu Microsoft.
« Notre rapport comprend des recommandations spécifiques pour les organisations susceptibles d’être ciblées par des acteurs russes ainsi que des informations techniques pour la communauté de la cybersécurité.
« Nous continuerons à fournir des mises à jour au fur et à mesure que nous observerons l’activité et pensons que nous pouvons divulguer en toute sécurité de nouveaux développements. »
Le rapport complet (PDF) contient plus d’informations, y compris une chronologie détaillée des attaques individuelles visant l’Ukraine.