La guerre en Ukraine se joue sur de multiples tableaux géopolitiques et technologiques. Elle se joue aussi dans le cyberespace. Et la diversité des cyberattaques dont est victime l’Ukraine depuis plus d’un an donne aussi un aperçu du potentiel cyber-guerre des attaquants… et de ses limites.

Le Service d’État ukrainien pour les communications spéciales et la protection de l’information (SSSCIP) a observé que, dans l’optique d’effacer les contenus des systèmes ou de les rendre inefficaces, des attaquants russes et pro-russes se seraient mis à diffuser un malware de type wiper dès le mois de janvier 2022, en ayant pour cibles principales les infrastructures essentielles, les fournisseurs de services et les agences gouvernementales ukrainiennes.

Ainsi, des attaques de type DDoS et wiper ont été lancées dès le 23 février 2022 vers 16h (heure locale), débouchant sur l’invasion de l’Ukraine par l’armée russe le jour suivant. On peut donc affirmer que les cyberattaques jouent un rôle crucial dans ce conflit.

En outre, le SSSCIP indique qu’au 24 août 2022, l’Ukraine avait déjà essuyé le nombre colossal de 1.123 attaques depuis le commencement de la guerre.

Cependant, il est à noter qu’en cette période, le « fog of war » vient brouiller la perception de l’efficacité d’une action donnée, si bien qu’il devient difficile d’estimer son degré d’efficience. Alors que le conflit fait bientôt rage depuis un an, il est désormais temps de s’interroger sur l’impact qu’a eu la composante cyber sur l’évolution de cette guerre. Pour cela, il convient de partager les cyberattaques lancées en quatre catégories, à savoir : l’espionnage, la désinformation, l’hacktivisme et les attaques à visée destructrice.

Une diversification efficace des cyberattaques…

Le rôle décisif qu’allaient jouer les cyberarmes dans cette guerre avait déjà été prédit auparavant, notamment au travers des attaques préemptives qui ont ciblé le réseau électrique ukrainien ou encore la diffusion du ver NotPetya à l’échelle mondiale. Cette prédiction s’est d’ailleurs vérifiée lorsqu’une vague d’attaques à visée destructrice a été lancée contre les modems de communication par satellite Viasat, engendrant par la suite « d’énormes difficultés de communication au tout début de la guerre » dans le camp ukrainien.

En outre, cette attaque a également causé des dommages collatéraux dans les pays membres de l’OTAN, en détraquant par exemple le fonctionnement de plus de 5 800 éoliennes en Allemagne. En parallèle, un grand nombre de cyberattaques russes semblent avoir été coordonnées avec des assauts conventionnels à Dnipro, à Kyiv ou encore à l’aéroport de Vinnytsia.

Pour la Russie, la désinformation constitue une arme hautement politique. Après avoir remporté une victoire à la suite d’une invasion-éclair et de la mise en place d’un gouvernement fantoche, il était nécessaire de mener activement des campagnes visant à désinformer deux sphères d’influence – l’Ukraine, pour convaincre la population du rôle de « libératrice » endossé par l’armée russe, et la Russie, pour obtenir l’appui de ses pairs ; une telle propagande rencontre d’ailleurs bien plus de succès à l’intérieur des frontières russes, comme l’indiquent des études récentes.

Tandis que le conflit s’ancre plus profondément, une troisième campagne d’ampleur internationale, ciblant par exemple l’Indonésie, l’Inde ou l’Égypte, a été lancée. Cette dernière a diffusé des informations erronées afin de perturber la vision des médias occidentaux concernant cette guerre, avec notamment la présentation de laboratoires américains spécialisés dans la production d’armes biologiques, le projet de « dénazification » de l’Ukraine ou encore un prétendu génocide.

En parallèle, chez les hacktivistes tels que Conti et Lockbit, certains groupes cybercriminels méconnus ont immédiatement annoncé leur prise de position concernant le conflit. Les deux camps ont ainsi fait l’expérience d’un déluge d’actions dès les premiers jours : attaques de type DDoS, détournements de sites web et autres piratages visant toutes sortes de cibles vulnérables identifiées comme ukrainiennes ou Russes. En outre, à l’image de l’utilisation de la brèche « Follina », certains acteurs des menaces basés en Russie se sont appliqués à exploiter les dernières vulnérabilités en date.

Enfin, il est très difficile de quantifier les activités menées par la catégorie « espionnage » – qui sont, par essence, secrètes – ainsi que leur impact. Cependant, Google a publié un rapport en mars 2022 qui révèle l’existence de campagnes de phishing menées par les Russes et les Biélorusses. De plus, l’entreprise américaine Proofpoint a également publié une étude où des représentants de l’Union européenne s’efforçaient d’apporter leur aide aux réfugiés victimes de ces campagnes de phishing provenant d’un compte e-mail ukrainien piraté au préalable par les services de renseignement russes.

… qui n’ont finalement eu que peu d’impact sur l’évolution du conflit

Ces attaques à visée destructrices – du type wiper ou DDoS –, qui ont surtout été menées peu après l’invasion terrestre de l’Ukraine par les forces armées russes, peuvent être considérées comme une forme de harcèlement mûrement préparée, aux conséquences multiples.

Néanmoins, cela n’a pas favorisé la réussite de l’invasion pour autant. Après avoir réglé des problèmes liés au commencement de la guerre, les forces ukrainiennes ont été en mesure de se reprendre et de mettre des lignes de communication alternatives en place dans le but de réduire les possibilités de perturbations. En prenant suffisamment de distance, tout porte à croire que, contrairement à l’Ukraine, la Russie a rencontré bien plus de difficultés avec les communications de sa chaîne de commandement. Par ailleurs, l’Ukraine a été capable de contrecarrer une attaque de malware sophistiquée lorsque cette dernière a été repérée sur Industroyer2, un réseau appartenant à un fournisseur d’énergie ukrainien.

En définitive, en Ukraine, les troupes russes n’ont pas été accueillies en libératrices par les civils et rendre les armes ne semble pas être à l’ordre du jour pour les forces armées ukrainiennes. Si l’Europe et les États-Unis poursuivent leurs efforts pour aider l’Ukraine dans son combat, le peuple russe se contente de rester attentif et ne prêche pas la révolte pour autant – du moins pas à la vue de tous. Toutefois, il convient de noter que les troupes ukrainiennes ont récemment repris des territoires auparavant sous le joug russe dans la région de Kharkiv et ont été accueillies en libérateurs par les civils.

D’autre part, lorsque les acteurs malveillants du groupe Conti ont publié sur leur site des déclarations menaçant l’Occident, un chercheur ukrainien a exposé des informations sur les pratiques et l’identité de ses membres, entraînant presque aussitôt sa dissolution définitive. De plus, tout semble indiquer que les pirates informatiques se sont détournés de ce conflit et s’adonnent actuellement à des activités plus accessibles. On peut par exemple faire référence au piratage de la société Yandex Taxi, où tous leurs véhicules ont créé un énorme embouteillage dans le centre de Moscou à la suite d’une commande de course similaire.

Concernant l’espionnage, la Russie n’est certainement pas intouchable en matière de vol, de collecte ou de piratage de données. En outre, James Andrew Louis, vice-président senior et directeur du Center for Strategic and International Studies (CSIS), a démontré qu’au début du conflit, les technologies de communication russes ont été déployées par intermittences et de manière à multiplier les pannes et autres défaillances techniques. Il en a d’ailleurs conclu que « s’appuyer sur le système de communication de l’adversaire crée de nombreuses opportunités d’exploitation. De nombreuses personnes pensent que l’une des raisons qui expliquent le fort taux de décès parmi les officiers russes les plus gradés s’expliquait par la vulnérabilité de leurs systèmes de communications, qui permettaient de déterminer avec précision leur emplacement géographique ».

Si l’activité cybercriminelle s’est avant tout concentrée autour d’opérations de déstabilisation ou de destruction au commencement du conflit, la fréquence de ces attaques a eu tendance à s’étioler à mesure que la détermination du peuple ukrainien l’a poussée à entrer dans un état de guerre prolongé ; cela a entraîné une réorientation nécessaire de l’activité vers des opérations visant à désinformer les populations ou à espionner le camp adverse. Plusieurs interrogations surviennent alors : ces activités vont-elles connaître une intensification afin de pousser les dirigeants européens à atténuer les sanctions pour éviter de renforcer les pénuries d’énergie existantes et futures ? Les groupes cybercriminels prévoient-ils de se focaliser sur les fournisseurs d’énergie européens, comme cela a déjà été observé auparavant, à petite échelle ?

Pour conclure, la guerre n’est pas encore terminée et les cyberattaques pourraient bien voir leur rôle évoluer de manière à changer potentiellement la donne – même s’il est peu probable qu’elles soient déterminantes dans la résolution du conflit. Elles restent avant tout un outil que l’on peut coupler avec d’autres armes ou instruments de guerre pour plus d’efficacité.
___________________

Par Chester Winsniewski, Field CTO – Applied Research – chez Sophos

 

À lire également :

Eset constate une activité intense des groupes de cybercriminels

Les 7 principaux risques cyber selon Gartner

Guerre en Ukraine : les inquiétudes cybersécurité du gouvernement et un satellite piraté

L’ANSSI évoque Kaspersky dans sa dernière communication autour de la guerre en Ukraine

Guerre en Ukraine : L’ANSSI invite les entreprises à prendre des cybermesures préventives prioritaires