Un groupe de pirates affilié au Kremlin a tenté, en vain, de piéger des civils désireux de contribuer à la cyberguerre contre la Russie. Des hackers affiliés à l'Ukraine ont de leur côté piégé des utilisateurs du clone russe d'Instagram. Alors que nombre de civils contribuent à l'effort de cyberguerre, des chercheurs alertent quant aux risques associés.
Le groupe d'analyse des menaces (TAG) de Google, qui « continue de perturber les campagnes et opérations d'influence de plusieurs groupes d'attaquants soutenus par le gouvernement russe », note que la plupart d'entre elles « sont des efforts en langue russe visant à assurer un soutien interne en Russie pour la guerre ».
Il avait, en mai dernier, observé un nombre croissant d'acteurs malveillants utilisant la guerre en Ukraine « comme leurre dans des campagnes de phishing et de logiciels malveillants ciblant de plus en plus les entités d'infrastructures critiques, notamment le pétrole et le gaz, les télécommunications et la fabrication » :
« Des acteurs soutenus par le gouvernement de Chine, d'Iran, de Corée du Nord et de Russie, ainsi que divers groupes non attribués, ont utilisé divers thèmes liés à la guerre ukrainienne dans le but d'amener des cibles à ouvrir des e-mails malveillants ou à cliquer sur des liens malveillants. »
Le TAG n'en a pas moins découvert que Turla, un groupe affilié au Service fédéral de sécurité (FSB) de la Fédération de Russie, « a récemment hébergé des applications Android sur un domaine usurpant le régiment ukrainien Azov » :
« Il s'agit de la première instance connue de Turla distribuant des logiciels malveillants liés à Android. Les applications n'étaient pas distribuées via le Google Play Store, mais hébergées sur un domaine contrôlé par l'acteur et diffusées via des liens sur des services de messagerie tiers. »

Des attaques DoS au moyen... d'une seule requête GET
L'application était censée permettre des attaques par déni de service (DoS) contre des sites web russes, mais ne permettait que de lancer « une seule requête GET vers le site web ciblé », et non des dizaines voire centaines de milliers, pour « submerger leurs ressources et provoquer le déni de service », comme le présentait à tort cyberazov.com.
« Bienvenue sur le site des Cyber Troupes soutenant le Régiment Azov », arborait le site web, qui ne répond plus mais qui a été archivé sur la Wayback Machine :
« Rejoignez le Cyber Azov et aidez à stopper l'agression russe contre l'Ukraine !
Nous sommes une communauté de personnes libres à travers le monde qui luttons contre l'agression de la Russie. Nous recrutons des personnes motivées et prêtes à nous aider dans notre cause. Nous avons développé une application Android qui attaque l'infrastructure Internet de la Russie. Pour le moment, la liste des cibles est prédéterminée. »
La liste des sites visés allait du Kremlin aux ministères de la Défense et des affaires étrangères, le site des vétérans du GRU, l'un des services de renseignement russes, en passant par plusieurs médias (RT, Interfax, Lenta, etc.)
« Logique, il serait stupide de ne pas le faire »
Shane Huntley, responsable de l'équipe de recherche du TAG, explique à Motherboard avoir pu attribuer cette opération à Turla parce qu'ils suivent le groupe depuis longtemps, et qu'ils ont « une bonne visibilité sur leur infrastructure », suffisamment pour pouvoir la relier à cette application :
« C'est intéressant et nouveau. Les groupes russes nous tiennent définitivement en haleine. Il y a cette évolution constante qui fait qu'ils ne s'installent pas dans une voie d'attaque particulière, mais qu'ils essaient différentes choses, font évoluer leurs techniques et voient ce qui fonctionne. Toutes leurs tentatives ne fonctionnent pas et toutes leurs approches ne le font pas, mais il y a une innovation considérable dans les moyens et les choses qu'ils essaient et cela ressemble presque à un état d'esprit expérimental. »
TAG ne précise pas si le logiciel contenait un cheval de Troie, mais 22 des 63 analystes de malware réunis sur VirusTotal.com le considèrent comme malveillant, dont 10 comme cheval de Troie.
- La cyberguerre n’a pas eu lieu
- Microsoft documente la « guerre hybride » en Ukraine
- Comment l'Ukraine a appris à survivre aux cyberattaques russes
« Créer cela est parfaitement logique, il serait stupide de ne pas le faire », explique à Motherboard Marina Krotofil, une professionnelle de la cybersécurité d'origine ukrainienne : « Tout le monde sait que l'IT Cyber Army fait des DDoS sur des IP prédestinées, donc beaucoup y croiraient. Mais ça sent le faux à des kilomètres à la ronde ».
TAG estime cela dit qu' « il n'y a pas eu d'impact majeur sur les utilisateurs d'Android » et que le nombre d'installations a été « infime ». L'adresse bitcoin fournie pour recueillir des dons n'a enregistré aucune transaction.
La cyber armée ukrainienne a elle aussi piégé des Russes
Dans un second article consacré, cette fois, à la cyber armée informatique ukrainienne, lancée deux jours seulement après le début de l'invasion militaire russe, MotherBoard relève qu'elle a, elle aussi, eu recours à de tels subterfuges.
Après avoir piraté Rossgram, le clone russe d'Instagram, elle avait « créé une fausse application Rossgram » et envoyé des invitations à tous ceux qui figuraient dans la base de données des utilisateurs voulant tester sa version bêta, qu'elle avait récupérée :
« Ils ont ensuite envoyé des notifications aux utilisateurs qui ont installé la fausse application pour leur dire que Rossgram avait été piraté, et enfin, divulgué la base de données d'inscription à la version bêta en ligne. »
MotherBoard note que l'essentiel de leurs faits d'armes reposent sur des attaques DDoS de sites web gouvernementaux, d'entreprises, de médias et de réseaux sociaux russes. « Au 7 juin 2022, cela comprend 662 cibles », explique Stefan Soesanto, chercheur principal en cybersécurité au Centre d'études de sécurité (CSS) à Zurich, qui a consacré un rapport à l'IT Army :
« Du côté public, l'armée informatique sert de navire qui permet au gouvernement ukrainien d'utiliser des volontaires du monde entier dans ses activités persistantes [de déni de service distribué] contre le gouvernement russe et les sites Web des entreprises. Du côté non public, l'équipe interne de l'armée informatique entretient probablement des liens étroits avec les services de défense et de renseignement ukrainiens, ou se compose en grande partie de ceux-ci. »
Signe de la professionnalisation de ses méthodes : elle vient de lancer son propre outil d'attaques DDoS, hébergé sur un nom de domaine gov.ua.
... just so everyone understands this: MHDDoS_proxy is going to become a Ukrainian state verified DDoS tool. Maybe the Ministry of Digital Transformation will even host it on the https://t.co/LWAfinIqBj domain. pic.twitter.com/u6KlTcNX6c
— Stefan Soesanto (@iiyonite) July 12, 2022
Est-il légitime de cibler des civils en temps de guerre ?
Ses hackers vont parfois jusqu'à « modifier les mots de passe administrateur, supprimer et voler des données internes, et même bloquer les cartes d'accès des employés aux salles de serveurs de l'entreprise », au risque d'y enfermer des gens.
Marina Krotofil estime qu'au moins au début, « le cyberespace est devenu une zone grise non réglementée où des individus du monde entier peuvent participer et faire ce qu'ils veulent », ce qui signifie aussi que les activités des volontaires de l'IT Army « n'étaient pas réglementées et peut-être pas toujours guidées par un bon jugement, car ces personnes étaient et sont toujours des civils qui n'ont pas les connaissances nécessaires pour agir de manière stratégique ».
Depuis, les choses ont changé. Les volontaires ont adopté « des "règles de conduite" appropriées [...], les activités sont devenues plus réglementées et mieux pensées et certains groupes ont certainement mené un travail utile [de renseignement de source ouverte] ou autorisé des opérations sur le territoire de l'Ukraine », précise-t-elle.
« L'une des raisons pour lesquelles le gouvernement ukrainien ne s'est pas prononcé ouvertement en faveur de l'armée informatique est que, d'une certaine manière, certaines de ses actions sont discutables », estime MotherBoard :
« Est-il légitime de cibler des sites Web et des entreprises civiles en temps de guerre ? Pour l'instant, les experts occidentaux en cybersécurité ne se sont pas prononcés, mais cela pourrait changer, surtout si l'IT Army continue de cibler la Russie une fois la guerre terminée. »
« Si le discours s'oriente vers un "OK, vous frappez l'infrastructure civile russe, et nous ne sommes pas d'accord avec cela, car cela viole les normes et le droit international", alors je pense que cela donnera une mauvaise image de l'Ukraine », explique M. Soesanto.
Un civil aidant des militaires devient un espion
Début juin, le chercheur en cybersécurité Lukasz Olejnik, ancien conseiller en cyberguerre au Comité international de la Croix-Rouge à Genève, tentait de sonner l'alerte à ce sujet.
Dans un article intitulé « Les smartphones brouillent la frontière entre civil et combattant », publié sur Wired, il relevait ainsi qu'une application d'alerte contre les raids aériens permettait désormais à ses utilisateurs de signaler les mouvements des soldats envahisseurs via une fonction « e-Enemy » :
« Techniquement parlant, dès qu'un utilisateur dans une zone de guerre prend un smartphone pour aider l'armée, la technologie et l'individu peuvent être considérés comme des capteurs, ou des nœuds, dans la pratique connue sous le nom d'ISR – intelligence, surveillance et reconnaissance. Inviter des citoyens à devenir un élément potentiel d'un système militaire, comme le fait la fonction e-Enemy, pourrait brouiller les frontières entre les activités civiles et combattantes. »
Or, écrivait-il, le principe de distinction entre ces deux mondes est « une pierre angulaire essentielle du droit international humanitaire – le droit des conflits armés, codifié par des décennies de coutumes et de lois telles que les Conventions de Genève » :
« Les personnes considérées comme des civils et des cibles civiles ne doivent pas être attaquées par les forces militaires ; comme ils ne sont pas des combattants, ils doivent être épargnés. Dans le même temps, ils ne doivent pas non plus agir en tant que combattants – s'ils le font, ils peuvent perdre ce statut. »
Et ce, même s'ils ne sont pas formellement membres des forces armées : « en perdant le statut de civil, on peut devenir un objectif militaire légitime, portant le risque d'être directement attaqué par les forces militaires ».
De nombreux articles ont ainsi rapporté que les soldats russes fouillaient dans les téléphones portables des civils ukrainiens à la recherche de messages indiquant qu'ils auraient pu envoyer des positions militaires russes aux autorités ukrainiennes, révélant qu'ils feraient partie de la résistance, les assimilant à des espions irréguliers, résultant parfois sur leurs exécutions extra-judiciaires :
« Les combattants légitimes ordinaires en captivité sont considérés comme des prisonniers de guerre – ils ne peuvent être légalement poursuivis pour activités de guerre et doivent se voir garantir des conditions d'hygiène, l'accès aux médicaments et à la nourriture pendant la captivité. Mais cela pourrait ne pas être accordé aux combattants "irréguliers" ou "illégaux". »