Sommaire
- Doit-on s’attendre à de nouvelles directives concernant la liste des pays « autorisés à attaquer » ?
- L’armée informatique ukrainienne comme outil de résistance et de contre-résistance
- Ils ont déclaré la « cyberguerre » à la Russie
- La Chine et la Biélorussie ne sont pas à l’abri des campagnes offensives
- Les hackers russes
La guerre de la Russie en Ukraine se reflète actuellement dans le cyberespace, engageant de nombreuses parties différentes dans un conflit toujours croissant. Dans cet article de blog, nous nous concentrerons sur les développements dans le monde de la cybercriminalité (qui n’impliquent soi-disant pas les acteurs de la menace des États-nations) dans le contexte de guerre actuel.
Depuis une semaine, hackers et gangs cybercriminels n’ont cessé de rejoindre la rhétorique anti-russe, pro-ukrainienne ou encore le cours de contre-propagande. De plus, certains sont restés silencieux ou neutres (« nous ne sommes pas parrainés par l’État et nous ne sommes pas du tout en politique », comme l’a déclaré LockBit le 27 février), et d’autres ont déclaré qu’ils n’adopteraient des mesures défensives que si leur pays ou leurs pairs étaient menacés.
La majorité de ces groupes sont nouvellement créés ou n’étaient pas importants avant 2022. Jusqu’à présent, leurs attaques ne sont pas très avancées techniquement (DDoS, défiguration, violation de données, fuite de données, compromission de compte et certaines rançongiciels , mais toujours pas confirmée).
Certaines des motivations des auteurs de cyberattaques dans le contexte de la guerre en Ukraine pourraient être liées à ce qui suit :
- gagner en visibilité, compte tenu de la couverture et de l’examen minutieux des événements actuels ;
- pour violer et vendre des données, un accès à distance ou d’autres informations sensibles afin de générer plus de revenus (certaines cibles valent actuellement plus que d’autres). A noter que le but ultime des cybercriminels reste le gain financier ;
- violer et divulguer des données sensibles pour affaiblir et de discréditer la cible et de la montrer sous un mauvais jour ;
- déterrer et revendre d’anciennes bases de données ou toute autre information susceptible d’intéresser d’autres acteurs de la menace à l’heure actuelle ;
- se tenir bien avec leurs autorités nationales respectives, s’aligner sur la rhétorique de leur gouvernement;
- un sentiment de vengeance lors de l’attaque de l’infrastructure critique d’un État ou d’une organisation adverse, compte tenu des dommages possibles ;
- pour « démasquer » l’agenda ou les intentions des autorités (y compris aux yeux de leurs propres citoyens) ;
- opérant avec un certain sentiment d’impunité – leurs actions seront très probablement populaires et seront probablement tolérées – sinon appréciées – par les autorités de leurs pays respectifs, tant que les attaques qu’ils commettent sont étroitement alignées sur les intérêts de l’État ;
- prouver qu’ils peuvent mener des cyberattaques avec une plus grande résonance et un plus grand impact que les groupes rivaux ;
- à s’identifier comme étant du « bon » côté du conflit, en partie pour des considérations idéologiques.
On voit aussi des pro-ukrainiens ou des pro-russes groupes de menaces qui s’attaquent maintenant les uns les autres. Le groupe de hackers russe Killnet aurait attaqué le site officiel d’ Anonymous; et maintenant, des informations sur l’organisation du groupe et des photos de leurs réunions en ligne circulent sur plusieurs sources Web profondes en russe. Le groupe AgainstTheWest (ATW) affirme qu’il a « complètement doxé et créé par l’ingénierie sociale l’équipe de CoomingProject« , qui est un autre gang de cybercriminalité.
Cependant, ce qui rend la tâche plus difficile pour les acteurs de la menace, ce sont les disparités au sein de nombreux groupes différents, tels que les clusters de ransomwares. En conséquence, certains de ces groupes restent silencieux et continuent d’opérer sans motivation politique apparente. Dans d’autres cas, cela se traduit par de véritables effondrements internes, comme ce fut le cas pour le Conti groupe de rançongiciels.
Versions initiales et éditées de la déclaration de Conti
Le 25 février, un message a été publié sur le site d’extorsion de Conti annonçant son « soutien total au gouvernement russe ». Peu de temps après, le message a été modifié, le groupe déclarant qu’il « ne s’allie à aucun gouvernement » et menaçant d’utiliser toutes ses capacités « pour riposter » uniquement. Peu de temps après, une source ayant des liens étroits avec le groupe a divulgué le code source du rançongiciel, des dizaines de milliers de messages échangés par les membres de Conti, des adresses e-mail, les détails du serveur C&C et bien d’autres. « Gloire à l’Ukraine », a déclaré l’auteur de la fuite dans son message.
L’équipe SEKOIA.IO surveille de près l’évolution du groupe et analyse les informations divulguées pour produire des renseignements supplémentaires. Pendant ce temps, le groupe continue d’afficher de nouvelles victimes sur son site d’extorsion.
Des campagnes ciblées ainsi que des campagnes opportunistes ont été observées récemment, car toute porte d’entrée est à franchir pour les cybercriminels. Outre les victimes d’attaques opportunistes et les victimes collatérales, il existe d’autres cibles potentielles pour les cybercriminels:
- les entreprises basées en / Les organismes gouvernementaux des pays imposant des sanctions à la Russie ;
- les organisations internationales mettant en œuvre des mesures contre la Russie ;
- les États membres de l’Organisation du Traité de l’Atlantique Nord (OTAN);
- les sociétés étrangères disposant d’importants capitaux en Russie et en Ukraine ;
- les industries des infrastructures critiques, de la défense, de la finance, des médias et des télécommunications.
Doit-on s’attendre à de nouvelles directives concernant la liste des pays « autorisés à attaquer » ?
Fin février, un membre d’un forum clandestin russophone demandait à l’administration du forum : « Une question pratique – dans quels pays notre travail n’est pas autorisé sur le forum, est-il possible de voir une liste à jour, admin ? ». Cette question est beaucoup plus perspicace qu’il n’y paraît, car elle fait référence aux directives que la majorité des forums cybercriminels russophones ont adoptées, qui stipulent que les activités malveillantes visant la Communauté des États indépendants sont interdites, et l’Ukraine a été implicitement incluse.
Bien que tous les cybercriminels ne soient pas présents sur de telles plateformes (qui déclinent d’ailleurs toute affiliation politique, comme l’a fait à plusieurs reprises le forum XSS), ces forums reflètent les tendances générales du monde de la cybercriminalité et jouent un rôle important dans la structuration de la activités des communautés clandestines de toutes sortes.
On pourrait donc s’attendre à voir un intérêt accru des cybercriminels à compromettre les entreprises des pays de la CEI ou d’anciens membres de la CEI. Cela concerne également toute entreprise étrangère qui y est implantée ou qui entretient des liens étroits avec des entreprises locales.
Il faut donc s’attendre à un intérêt croissant pour les données sensibles des pays membres de l’OTAN, comme on a pu le constater dans de nombreuses publications sur plusieurs forums de cybercriminalité depuis fin février.
Pour ne donner qu’un exemple, voici un acteur menaçant à la recherche d’un accès à distance compromis pour des entreprises basées en Ukraine ou dans l’un des pays de l’OTAN dont les revenus dépassent 3 millions de dollars. Le 1er mars, le même acteur « cherchait un botnet pour cibler et attaquer les réseaux d’entreprise ». Le même jour, il a contacté un développeur de ransomware personnalisé pour s’affilier à lui ou bien pour acquérir son ransomware.
Un acteur menaçant à la recherche d’un accès à distance et de botnets à utiliser dans des campagnes contre l’Ukraine ou des pays membres de l’OTAN
L’armée informatique ukrainienne comme outil de résistance et de contre-résistance
Le 26 février, deux jours après l’invasion de l’Ukraine par la Russie, le ministre ukrainien de la transformation numérique Mykhaylo Fedorov a annoncé la création d’une «armée informatique» ukrainienne. Des pirates informatiques volontaires ont été invités à « se battre sur le front cybernétique » en menant des cyberattaques contre de multiples cibles basées en Russie. Peu de temps après, une chaîne Telegram a été créée pour organiser les opérations de l’armée informatique et recruter divers spécialistes de la cybersécurité, développeurs, concepteurs, rédacteurs, spécialistes du marketing et autres.
Des listes de cibles sont continuellement publiées et mises à jour sur cette plate-forme, des directives d’attaque sont également disponibles et elles communiquent activement sur leurs opérations réussies.
Comme le mandat proclamé de l' »armée informatique » ukrainienne est de faire tomber la désinformation russe, la cible numéro un est l’industrie des médias. De nombreuses agences gouvernementales, dispositifs de stockage gouvernementaux et serveurs de messagerie, institutions financières, grandes entreprises soutenant des infrastructures critiques, applications de signature électronique sont également dans la cible des « cyber-troupes ». Des entités basées en Russie et en Biélorussie ont été ciblées jusqu’à présent.
Messages de l’armée informatique ukrainienne diffusés sur sa chaîne officielle Telegram
Ainsi, pour l’instant, « tous les vecteurs d’attaques possibles » sont encouragés pour « contrer la propagande russe », plutôt que pour obtenir un avantage militaire stratégique.
Il n’y a pas d’image claire du nombre réel de volontaires qui ont répondu à l’appel du ministère puisque plusieurs autres acteurs sont maintenant engagés dans des cyberopérations offensives visant la Russie et certaines revendications sont difficiles à évaluer.
Ils ont déclaré la « cyberguerre » à la Russie
. Le premier à s’opposer à l’invasion de l’Ukraine par la Russie a été le mouvement international activiste et hacktiviste Anonymous. Le groupe cible principalement les sites et services russes en réponse à l’invasion de l’Ukraine par Poutine.
Les nombreux membres de la communauté Anonymous partagent très activement leurs « réalisations » via les réseaux sociaux. Il en a été de même pour le groupe AgainstTheWest (ATW) – en affiliation avec le groupe BlueHornet (BH) – qui a semblé profiter des circonstances actuelles pour revenir sur la scène hacktiviste, car ils étaient inactifs depuis un certain temps.
Contrairement à ce que son nom pourrait suggérer, AgainstTheWest (ATW) est un groupe menaçant ciblant les réseaux gouvernementaux et d’entreprises en Chine, en Russie et, plus récemment, en Corée du Nord, en Biélorussie et en Iran. ATW a violé et divulgué de nombreuses victimes très médiatisées en Russie et en Biélorussie.
Annonces AgainstTheWest sur le compte Telegram du groupe.
Ce qui revient le plus souvent dans les campagnes de ces gangs, ce sont les DoS (denial-of-service) et les attaques de défiguration. Le groupe AgainstTheWest (ATW) déclare également déployer des ransomwares et des wipers.
Certaines des attaques revendiquées par ces groupes ont été confirmées par les victimes elles-mêmes via des conférences de presse.
La Chine et la Biélorussie ne sont pas à l’abri des campagnes offensives
Un groupe de pirates informatiques « éthiques » biélorusses, connus sous le nom de Cyberpartisans biélorusses , a affirmé avoir attaqué les chemins de fer biélorusses qui, disent-ils, « ont réussi à ralentir les échelons russes en Biélorussie ». L’information a ensuite été confirmée par une publication sur une chaîne Telegram dirigée par des cheminots biélorusses. Le 1er mars, ils ont déclaré : « À ce jour, les chemins de fer biélorusses ne sont pas en mesure d’assurer la sécurité de leur infrastructure. Les trains militaires du côté russe ne bougent pas pendant la nuit. Les conducteurs de train ont peur de sortir pour les quarts de travail ».
De plus, les institutions gouvernementales chinoises auraient été ciblées par Anonymous dans une tentative de condamner tout pays faisant des alliances avec la Russie.
Les hackers russes
contre-attaquent Pour l’instant, la plupart des groupes menaçants russes ont été principalement défensifs avec des déclarations telles que « nous n’allons pas arrêter de défendre notre pays (…) mais nous n’attaquerons pas en premier » (TheRedBanditsRU).
Néanmoins, la situation semble s’envenimer très rapidement avec la récente attaque du site d’Anonymous par Killnet et la rupture des relations internationales suite à la guerre et aux sanctions contre la Russie imposées par la communauté internationale.
Annonces de Digital Cobra et TheRedBanditsRU sur leurs comptes Twitter
TheRedBanditsRU poursuit les objectifs du gouvernement et recrute activement des affiliés en ce moment. Le Stormous semble se concentrer sur les réseaux américains, tandis que DIGITAL COBRA menace les pays de l’OTAN. De plus, le DIGITAL COBRA utilise le hashtag #HiddenCobra dans ses publications. Nous ne sommes actuellement pas en mesure de qualifier un quelconque lien entre cet acteur et le groupe Lazarus.
Annonces tumultueuses de Ransomware sur le compte Telegram du groupe
Le paysage de la cybercriminalité est complexe et partiellement imprévisible, notamment au regard du contexte géopolitique actuel.
Une sensibilisation continue à la menace de la cybercriminalité et une vigilance continue à l’égard des acteurs de la menace mentionnés dans ce rapport sont essentielles pendant cette période.
RÉFÉRENCES
• [SEKOIA.IO] Enquêtes sur le dark web
• [Ministre ukrainien de la transformation numérique sur Twitter] Annonce de la création d’une « armée informatique » ukrainienne• [Travailleurs ferroviaires biélorusses sur Telegram] Résumé de la situation sur les chemins de fer biélorusses (RU)
Lire aussi sur notre blog :