Depuis le début de l'invasion, « au moins 6 » unités des services de renseignement russes auraient orchestré plus de 200 cyberattaques ciblant les infrastructures ukrainiennes, dont « près de 40 » qualifiées de « destructrices » et « particulièrement préoccupantes ». Ils avaient « commencé à se prépositionner pour le conflit dès mars 2021 ».
Un rapport de l'Unité de sécurité numérique de Microsoft estime qu'« au moins 6 acteurs distincts liés à l'État russe ont lancé plus de 237 opérations contre l'Ukraine, y compris des attaques destructrices qui se poursuivent et menacent le bien-être des civils », depuis le début de l'invasion militaire :
« Les attaques ont non seulement dégradé les systèmes des institutions en Ukraine, mais ont également cherché à perturber l'accès de la population à des informations fiables et à des services vitaux essentiels dont dépendent les civils, et ont tenté d'ébranler la confiance dans les dirigeants du pays. »
L'instrumentalisation par la Russie des cyberattaques « semble être fortement corrélée et parfois directement synchronisée avec ses opérations militaires cinétiques ciblant des services et des institutions cruciaux pour les civils » :
« Par exemple, un acteur russe a lancé des cyberattaques contre une grande société de radiodiffusion le 1er mars, le jour même où l'armée russe a annoncé son intention de détruire des cibles ukrainiennes de "désinformation" et a dirigé une frappe de missiles contre une tour de télévision à Kiev. »
Une « opération d'influence cybernétique » attribuée à DEV-0586, un groupe jusqu'alors inconnu mais suspecté d'être lié au service de renseignement militaire russe GRU, visait début avril à envoyer des e-mails en se faisant passer pour un résident de Marioupol assiégé, « accusant le gouvernement ukrainien de les avoir abandonnés » afin de « tenter de retourner les citoyens ukrainiens contre leur gouvernement » :
« À la lumière des événements récents, notre capitale gouvernementale a enfin craché sur la conscience et la morale... S'il y a ne serait-ce qu'une goutte de patriotisme ukrainien dans votre âme, vous êtes obligé de ne pas laisser notre rêve commun se dissoudre dans les mensonges et la propagande de ces clowns hypocrites. Je vous exhorte à remplir votre devoir national, à défendre le droit d'être appelé peuple ukrainien et à mettre fin à cette meute d'invertébrés. »
Sur ces 237 opérations enregistrées entre le 23 février (veille de l'invasion) et le 8 avril, « près de 40 » sont qualifiées de « destructrices » et « particulièrement préoccupantes » à mesure qu'elles ont « détruit de façon permanente les fichiers de centaines de systèmes d'une douzaine d'organisations » :
« Plus de 40 % des attaques destructrices visaient des organisations dans des secteurs d'infrastructures critiques qui pourraient avoir des effets négatifs de second ordre sur le gouvernement, l'armée, l'économie et les civils ukrainiens. »
Une guerre de l'information parfois plus efficace que les armes traditionnelles
Le rapport rappelle, de façon liminaire, qu'une « vision conceptuelle » de l'armée russe datant de 2011 définit la guerre de l'information comme « une confrontation dans l'espace de l'information dans le but de causer des dommages aux systèmes d'information critiques, de saper les systèmes politiques, économiques et sociaux, de manipuler psychologiquement le public pour déstabiliser l'État et contraindre l'État à prendre des décisions favorables à la partie adverse » :
« Les commentaires collectifs de plusieurs anciens responsables militaires russes, dont un ancien chef d'état-major général, suggèrent que les opérations visant à dégrader le moral des troupes, discréditer le leadership et saper l'armée et le potentiel économique de l'ennemi via des moyens d'information peuvent parfois être plus efficaces que les armes traditionnelles. »
De fait, les hackers « ont commencé à se prépositionner pour le conflit dès mars 2021, intensifiant les actions contre les organisations à l'intérieur ou alliées à l'Ukraine pour prendre davantage pied dans les systèmes ukrainiens », mentionnant des unités affilieés aux trois principaux services de renseignement russes, le GRU (militaire), le SVR (extérieur), et le FSB (intérieur, ex-KGB) :
« Bien que nous ne puissions pas parler du niveau de coordination entre des groupes de menaces disparates, combinés, leurs activités semblaient viser à garantir un accès persistant pour la collecte de renseignements stratégiques et sur le champ de bataille ou à faciliter de futures attaques destructrices en Ukraine pendant un conflit militaire. »
Puis, quand les troupes militaires ont commencé à se positionner aux frontières de l'Ukraine, ils ont intensifié leurs efforts visant à pirater des cibles « qui pourraient fournir des renseignements sur les partenariats militaires et étrangers de l'Ukraine » :
« À la mi-2021, les acteurs russes ciblaient les fournisseurs de la chaîne d'approvisionnement en Ukraine et à l'étranger pour garantir un accès supplémentaire non seulement aux systèmes en Ukraine, mais également aux États membres de l'OTAN. »
« Environ 93 % de toutes les activités d'attaque soutenues par la Russie observées dans nos services en ligne visaient des États membres de l'OTAN, en particulier contre les États-Unis, le Royaume-Uni, la Norvège, l'Allemagne et la Turquie jusqu'en 2021 », précise le document.
Des cyberattaques coordonnées avec l'effort de guerre
Un graphique montrant la répartition géographique des clients de Microsoft informés du fait qu'ils étaient ciblés par des États-nations (et « pas seulement par la Russie ») relève qu'en juin 2021, l'Ukraine était le second pays le plus attaqué, derrière les États-Unis, avec respectivement 19 et 46 % de l'ensemble des cyberattaques, contre 9 % visant le Royaume-Uni, 3 % la Belgique, le Japon et l'Allemagne.
Puis, début 2022, alors que les diplomates ne parvenaient pas à apaiser la situation, les attaques destructrices de logiciels malveillants contre les organisations ukrainiennes ont connu « une intensité croissante », dont Microsoft peine cela dit à mesurer l'ampleur, sinon qu'elle est coordonnée avec l'effort de guerre :
« Depuis le début de l'invasion russe de l'Ukraine, des cyberattaques russes ont été déployées pour soutenir les objectifs stratégiques et tactiques de l'armée. Il est probable que les attaques que nous avons observées ne représentent qu'une fraction des activités visant l'Ukraine. »
Pour autant, le rapport relève qu'à la veille de l'invasion, des acteurs associés au GRU ont lancé des cyberattaques destructrices de fichiers (« wipers ») sur des centaines d'ordinateurs du gouvernement ukrainien, ainsi que des organismes de télécommunications (Viasat), financiers et des secteurs de l'énergie.
Depuis, Microsoft a observé « des tentatives de destruction, de perturbation ou d'infiltration de réseaux d'agences gouvernementales et d'un large éventail d'organisations d'infrastructures critiques, que les forces militaires russes ont dans certains cas ciblées par des attaques au sol et des frappes de missiles » :
« Sur la base des objectifs militaires russes en matière de guerre de l'information, ces actions visent probablement à saper la volonté politique de l'Ukraine et sa capacité à poursuivre le combat, tout en facilitant la collecte de renseignements qui pourraient fournir des avantages tactiques ou stratégiques aux forces russes. »
Des cyberattaques qui pourraient cibler les pays soutenant l'Ukraine
Microsoft précise que ses équipes de sécurité travaillent « en étroite collaboration avec les représentants du gouvernement ukrainien et le personnel de cybersécurité des organisations gouvernementales et des entreprises privées » pour identifier et entraver ces cyberattaques.
Son Threat Intelligence Center (MSTIC) avait découvert, en janvier dernier, « des logiciels malveillants d'effacement dans plus d'une douzaine de réseaux en Ukraine ». Après avoir alerté le gouvernement ukrainien, une ligne de communication sécurisée avec les principaux cyber-responsables en Ukraine a été déployée afin de pouvoir partager, 24 heures sur 24 et 7 jours sur 7, les renseignements sur les menaces et déployer des contre-mesures techniques :
« Étant donné que les acteurs de la menace russe ont reproduit et intensifié les actions militaires, nous pensons que les cyberattaques continueront de s'intensifier à mesure que le conflit fait rage. »
Microsoft estime également que les hackers étatiques russes « pourraient être chargés d'étendre leurs actions destructrices en dehors de l'Ukraine pour exercer des représailles contre les pays qui décident de fournir davantage d'assistance militaire à l'Ukraine et de prendre des mesures plus punitives contre le gouvernement russe en réponse à l'agression continue » :
« Nous avons observé des acteurs alignés sur la Russie actifs en Ukraine manifester de l'intérêt ou mener des opérations contre des organisations dans les pays baltes et en Turquie - tous les États membres de l'OTAN fournissant activement un soutien politique, humanitaire ou militaire à l'Ukraine. »
Les Ukrainiens plutôt confiants, contrairement aux « Five Eyes »
Le Wall Street Journal précise de son côté que Victor Zhora, le chef adjoint de l'agence ukrainienne de cyberdéfense, « a déclaré lors d'un briefing avec des journalistes qu'il pensait que la Russie avait activé toutes ses cybercapacités offensives contre l'Ukraine alors que la guerre s'éternisait et qu'il était peu probable qu'elle déploie des cybercapacités "complètement nouvelles" ou inattendues » :
« Ils représentent une menace sérieuse. Ce serait une erreur de sous-estimer leur potentiel. Mais en même temps… je pense que nous sommes tout à fait capables de résister, en matière de cyberguerre et de guerre en général. »
« S'ils voulaient organiser quelque chose de très destructeur, ils avaient deux mois pour le faire », rapporte de son côté Kim Zetter : « Ils ont eu amplement l'occasion d'utiliser les attaques les plus destructrices qu'ils pouvaient concevoir, mais ils ne l'ont pas fait » :
« Nous ne devrions pas sous-estimer les hackers russes, mais nous ne devrions probablement pas surestimer leur potentiel car s'il ne se développe pas maintenant, leurs ressources financières pour organiser de telles opérations sont désormais limitées, ainsi que le temps de planification, alors que la coordination de telles opérations sophistiquées peut prendre des mois. »
Le State Service of Special Communications and Information Protection of Ukraine, l'agence de cyberdéfense ukrainienne, relevait pour sa part la semaine passée avoir enregistré 802 cyberattaques depuis le début de l'année, la plupart attribuable à des hackers russes, contre 362 à la même période l'an dernier :
« Heureusement, la plupart de ces attaques ont échoué. L'Ukraine s'est protégé des cyberattaques de l'armée russe pendant 8 années consécutives, ce qui nous a donné une perspective unique en matière de cybersecurité. »
À rebours de la confiance exprimée par M. Zhora, des « responsables du renseignement américains et occidentaux ont déclaré qu'ils pensaient que la Russie avait les capacités et les ressources nécessaires pour mener des cyberattaques bien plus dommageables contre l'Ukraine que ce qui a été vu jusqu'à présent », écrit le WSJ :
« Certains ont déclaré que l'erreur de calcul initiale de la Russie selon laquelle Kiev tomberait dans quelques jours a contribué à une réticence précoce à lancer des cyberattaques contre des infrastructures critiques qui pourraient gravement paralyser la vie quotidienne en Ukraine. »
La Cybersecurity & Infrastructure Security Agency (CISA) et le FBI viennent d'ailleurs de mettre à jour leur avis conjoint sur les logiciels malveillants destructeurs ciblant les organisations en Ukraine (WhisperGate, HermeticWiper, IsaacWiper, HermeticWizard et CaddyWiper).
La semaine passée, les autorités de cybersécurité des « Five Eyes » (États-Unis, Australie, Canada, Nouvelle-Zélande et Royaume-Uni) avaient de leur côté publié un (long) avis conjoint consacré aux « cybermenaces criminelles parrainées par l'État russe contre les infrastructures critiques » :
« L'objectif de cet avis conjoint sur la cybersécurité (CSA) est d'avertir les organisations que l'invasion de l'Ukraine par la Russie pourrait exposer les organisations à l'intérieur et à l'extérieur de la région à une augmentation de la cyberactivité malveillante. Cette activité peut se produire en réponse aux coûts économiques sans précédent imposés à la Russie ainsi qu'au soutien matériel fourni par les États-Unis et leurs alliés et partenaires. »
