Changements dans la cyber-sphère depuis le conflit Russie-Ukraine
Ces dernières années, l'humanité a assisté à une escalade des tensions entre la Russie et l'Ukraine, ce qui laisse présager la proximité d'un futur conflit d'une ampleur inédite sur le continent européen depuis des décennies.
Les années entre 2014 et 2017 ont connu plusieurs épisodes de cyberattaques liées au système électrique national et au système électoral de l'Ukraine, prélude à de futures attaques découlant du conflit actuel.
Sur le plan cybernétique, plusieurs attaques DDoS (déni de service massif) ont eu lieu entre le 15 et le 22 février 2022 sur divers services ukrainiens, qui ont été temporairement interrompus et ont affecté des sites web liés aux secteurs bancaire, gouvernemental et militaire. Dans la chronologie, ce serait le sommet de l'iceberg qui se développe plus tard.
Des groupes cybercriminels, avec une mention spéciale pour ceux liés aux ransomwares, aux groupes hacktivistes, plusieurs campagnes d'action ont été développées qui nous font comprendre l'importance du plan cybernétique dans ce type de scénarios.
Depuis le 22 février, date à laquelle le conflit a été déclaré officiel et les attaques russes ont commencé, les différents cyberacteurs ont pris leurs positions sur l'échiquier.
D'une part, une série de cyber-attaques destructrices a eu lieu autour du 24 février avec la prolifération du malware "Wiper" sous ses différentes formes (HermeticWiper, IsaacWiper, CaddyWiper, etc.). Ce type de code malveillant a été spécifiquement conçu pour endommager les systèmes cibles en supprimant les données utilisateur, les programmes, les disques durs et, dans certains cas, les informations relatives aux partitions des disques durs. Contrairement aux ransomwares, aux chevaux de Troie et à d'autres variantes courantes de logiciels malveillants, les wipers ne visent pas le vol ou le gain financier, mais effacent tout sur leur passage à des fins purement destructrices.
Par la suite, le 8 mars, la campagne RuRanson, une variante de l'essuie-glace mais visant cette fois la Russie, a été observée. Les attaquants, d'origine a priori inconnue, utilisaient donc cette création contre leurs propres ennemis.
Différentes campagnes de phishing ciblant l'Ukraine ont également été mises au point pour diffuser des logiciels malveillants ou semer la confusion parmi les citoyens, comme la campagne Sunseed Lua, qui visait le personnel de l'UE et les fonctionnaires travaillant avec les réfugiés ukrainiens.
Par la suite, certains groupes cybercriminels impliqués dans des attaques de ransomware, tels que CONTI ou Lockbit, ont pris position sur le conflit. Alors que Lockbit affirmait n'avoir aucune relation avec un État particulier, CONTI a initialement publié sur son blog une déclaration ouvertement en faveur de la Russie, qui a ensuite été modifiée pour être plus "correcte", mais sans retirer son soutien à la Russie.
Une réaction intéressante à ce type de positionnement a été la fuite par un affilié du groupe de toutes les coordonnées des personnes impliquées dans le collectif criminel CONTI, ainsi que des publications sur sa mécanique interne et d'autres données privées, y compris des conversations de chat, entre le 27 février et le 1er mars.
Les groupes hacktivistes ont également joué un rôle, bien qu'ils aient été plus axés sur la diffusion d'informations que sur la cybernétique. De la diffusion de l'hymne ukrainien sur les chaînes de télévision russes par les Anonymous au piratage de plusieurs chaînes de télévision russes pour diffuser des vidéos de la guerre actuelle, y compris le bombardement de zones résidentielles, en passant par la fuite de milliers de fichiers de Roskomnadzor, le régulateur russe de la censure des médias.
Ces événements ont eu lieu entre le 27 février et le 11 mars, faisant des premiers jours du conflit une scène intense de combats contre l'invasion ukrainienne. Par la suite, le 23 mars, Anonymous a de nouveau mené une campagne d'exposition d'informations, cette fois-ci contre la société Nestlé qui continue à opérer en Russie.
Depuis lors, plusieurs attaques de toutes sortes ont été perpétrées contre diverses infrastructures, comme la détection d'une interférence présumée de la Fédération de Russie dans les signaux GPS de vols finlandais, qui a conduit à l'annulation de vols, ou celles dirigées contre le système national de compensation des paiements du gouvernement polonais, dont la Russie est soupçonnée d'être une source possible, bien que leur auteur n'ait pas été confirmé.
Le cyber est devenu particulièrement intéressant dans ce type de conflit en raison des attaques qui ont vu le jour pendant le conflit. Toutefois, les campagnes de divulgation d'informations ont été les plus importantes et les plus largement relayées par les médias, et ont pris une importance particulière.
Les préoccupations relatives à l'exposition des données ne cessent de croître, affectant les agences gouvernementales, comme le journal ukrainien Pravd, qui a divulgué ce qui semble être les données personnelles de 120 000 soldats russes combattant en Ukraine, ainsi que les médias, avec les campagnes d'Anonymous exposant des informations sur les événements en Ukraine aux citoyens russes via les chaînes de télévision.
Les campagnes d'information et de désinformation, ainsi que les fake news, sont également devenues particulièrement pertinentes dans ce domaine, dans le but d'influencer ou de modifier l'opinion publique sur le conflit.
Non seulement la fuite de données sensibles ou l'exposition de groupes cybercriminels tels que CONTI est un phénomène relativement nouveau, mais l'information a également été un élément clé dans les luttes menées par les différents groupes.
Cela signifie qu'en se projetant dans l'avenir, les chercheurs et les analystes doivent considérer la valeur incalculable des données comme l'une des armes possibles à utiliser dans les conflits futurs.
Ce scénario doit donc être pris en compte dans les conflits futurs, car il soutient des infrastructures critiques de la plus haute importance pour les États, dont les défenses ne sont jamais suffisantes lorsque se produisent des chaînes d'attaques telles que celles qui se sont produites dans le conflit actuel.
De plus, l'information devient critique dans ce type d'événement, car des données confidentielles touchant à la fois les citoyens et les entreprises ont été exposées.
Il s'agit toujours d'une préoccupation actuelle et d'un espace qui nécessite des barrières de défense spécifiques, c'est pourquoi on continue à mentionner tout particulièrement la poursuite du développement de tous les mécanismes possibles pour élever au maximum le niveau de sécurité.
Ainoa Guillén González, coordinatrice du domaine de la cybersécurité de Sec2Crime