Les cyberattaques comme moyen de guerre
Sophos Sophos, Cyber Threat, Cyberangriffe
Face au déploiement de troupes russes à la frontière avec la l'Ukraine et les attaques DDoS (Distributed Denial of Service), qui ont sporadiquement les sites web du gouvernement ukrainien et les services financiers on parle beaucoup de la nécessité de se préparer à des cyberconflits Il faut être prêt, qu'il y ait ou non une véritable guerre. Certes, toutes les entreprises devraient toujours se préparer aux attaques. être préparées de toutes parts. Mais il peut être utile de savoir savoir ce à quoi il faut faire attention lorsque le risque d'attaque augmente. J'ai décidé de retracer l'historique des activités connues ou activités présumées de l'État russe dans le cyberenvironnement. et d'évaluer à quels types d'activités il faut s'attendre. ou comment les organisations peuvent s'y préparer.
Attaques par déni de service déstabilisantes
La première activité connue remonte au 26 avril 2007.
lorsque le gouvernement estonien a fait ériger une statue en commémoration de la
libération de l'Estonie du joug nazi par l'Union soviétique.
un endroit plus visible. Cette action a mis en colère la population russophone de l'Estonie.
population estonienne et a déstabilisé les relations avec Moscou. Peu de temps après
des émeutes ont éclaté dans les rues, des manifestations ont eu lieu devant l'ambassade d'Estonie.
l'ambassade d'Estonie à Moscou et une vague de création de sites web DDoS-Angriffen auf estnische Regierungs
et de sites de services financiers. Des outils entièrement préparés et des
instructions pour participer à des attaques DDoS sont apparus sur les forums russes.
forums presque immédiatement après le déplacement de la statue. Ces attaques
visaient les sites du président, du parlement, des
police, des partis politiques et des principales entreprises de médias.
D'autres "patriotes russes" ont certes été appelés à contribuer à l'effort d'Estonie. à aider à punir l'Estonie, mais il ne s'agissait pas vraiment d'un Il ne s'agissait pas d'un mouvement de base* qui serait apparu avec des outils et une liste d'objectifs. a surgi de nulle part. La même tactique a été utilisée plus tard par Anonymous pour défendre Wikileaks, en utilisant un outil appelé Low Orbit Ion Canon (LOIC). Le 4 mai 2007, les attaques se sont intensifiées. les attaques se sont intensifiées et ont visé des banques. Sept jours plus tard jours plus tard, les attaques se sont terminées à minuit, aussi brutalement qu'elles avaient commencé. Tout le monde a immédiatement accusé la Russie, mais il est quasiment impossible d'identifier les attaques. impossible d'attribuer des attaques par déni de service distribuées. Il est admis que désormais communément admis que ces attaques DDoS sont l'œuvre du Russian Business Network (RBN) un groupe de crime organisé notoire en Russie. Russie, lié au spamming, aux botnets et aux produits pharmaceutiques. programmes d'affiliation. Leurs services ont apparemment été utilisés pendant exactement une semaine "utilisés" pour mener ces attaques.
Le 19 juillet 2008, une nouvelle vague d'attaques DDoS a débuté. visait des sites Web d'information et gouvernementaux en Géorgie. Ces attaques se sont mystérieusement intensifiées le 8 août 2008. dramatiquement lorsque les troupes russes ont envahi la province séparatiste d'Ossétie du Sud Ossétie du Sud. Les attaques ont d'abord été dirigées contre georgische Nachrichten- und Regierungsseiten, ensuite contre des institutions financières, des entreprises, des établissements d'enseignement, médias occidentaux et un site Internet géorgien de pirates informatiques. attaques précédentes contre l'Estonie, un site web contenant une liste de cibles ainsi qu'une série d'outils avec des instructions sur leur utilisation. Là encore, on a tenté d'attribuer les attaques aux "patriotes", qui se défendaient contre l'agression géorgienne. Mais la plus grande partie du Le trafic d'attaque réel provenait d'un grand botnet connu. botnet, probablement contrôlé par RBN.
Défiguration numérique et spam
Les attaques contre la Géorgie comprenaient également des défigurations de sites Web.
des sites web et des campagnes massives de spam visant à saturer les boîtes de réception géorgiennes.
de courrier électronique. Tout cela avait apparemment pour but de,
à renforcer la confiance dans la capacité de la Géorgie à se défendre et à gouverner.
de gouverner, et d'empêcher le gouvernement de
de communiquer efficacement avec ses citoyens et avec le monde extérieur. Moins de
moins d'un an plus tard, en janvier 2009, une nouvelle série de
attaques DDoS au Kirghizstan. Cela s'est produit au moment même où le
le gouvernement kirghize se prononçait sur le renouvellement du contrat de location d'une
base aérienne américaine dans leur pays. Une coïncidence ? Il semblait que
que l'action était à nouveau menée par le RBN, mais cette fois-ci
il ne s'agissait pas d'une ruse de "patriotes" qui exprimaient leur opinion numérique
exprimaient.
Désinformation et isolement
Cela nous amène au dernier conflit cinétique en date, la
invasion de la Crimée en 2014. Depuis 2009, une guerre de l'information de niveau
de bas niveau contre l'Ukraine, dont de nombreuses attaques coïncident avec des
coïncident avec des événements qui pourraient être perçus comme une menace pour les intérêts russes.
pourraient être interprétés, comme par exemple un sommet de l'OTAN et des négociations
entre l'Ukraine et l'UE sur un accord d'association. En mars
2014, le New York Times a rapporté qu'un logiciel malveillant “Snake” in das Büro des ukrainischen Premierministers
et plusieurs ambassades distantes s'étaient infiltrés alors que l'Ukraine
des manifestations antigouvernementales avaient commencé. Vers la fin de l'année 2013 et
au début de l'année 2014, ESET a également publié des enquêtes,
documentant des attaques contre des cibles militaires et des médias, appelées "Operation Potao Express".
Comme précédemment, un cybergroupe local a mené des attaques contre des
appelé "Cyber Berkut" a mené des attaques DDoS et des défigurations de sites web, mais sans succès.
mais sans causer de dommages majeurs. Il a toutefois créé une grande
confusion, et cela seul a des répercussions en période de conflit.
Au début du conflit, des soldats sans insignes ont pris le contrôle des contrôle des réseaux de télécommunication de Crimée et de l'unique point d'accès au réseau Internet dans la région et ont provoqué un arrêt de la circulation. blocage de l'information. Les assaillants ont abusé de leur accès au réseau réseau mobile pour identifier les manifestants antirusses et leur envoyer des SMS. leur envoyer des messages SMS disant : "Cher titulaire de la ligne, vous êtes enregistré comme participant à une émeute de masse Après avoir isolé les capacités de communication de la Crimée, ils ont les attaquants ont également manipulé les téléphones portables de membres du parlement ukrainien, les empêchant ainsi de réagir efficacement de réagir à l'invasion. Comme indiqué dans Military Cyber Affairs mentionnée, les campagnes de désinformation ont fonctionné à plein régime : "Dans un cas Dans un cas, la Russie a payé une seule personne pour avoir plusieurs identités différentes. identités sur le web. Un acteur de Saint-Pétersbourg a affirmé que, en tant que trois blogueurs différents, avec dix blogs, tout en agissant sur des sites de commenter sur d'autres sites. Une autre personne a été engagée, pour commenter les actualités et les médias sociaux 126 fois toutes les douze heures commenter des informations".
Une alimentation électrique paralysante
Le 23 décembre 2015, près de la moitié des habitants de
Ivano-Frankivsk (Ukraine) ont été brutalement privés d'électricité. Il est généralement admis que
que c'est l'œuvre de pirates russes soutenus par l'État.
pirates informatiques. Les premières attaques ont commencé plus sechs Monate
avant la coupure de courant, lorsque des employés de trois centres de distribution d'électricité
ont ouvert un document Microsoft Office infecté contenant une macro qui
Le malware BlackEnergy devait être installé.
d'accéder à distance aux données du réseau SCADA (Supervisory Control Acquisition).
et d'acquisition de données et de prendre le contrôle des centrales électriques.
commandes des sous-stations afin d'ouvrir les disjoncteurs.
d'ouvrir les disjoncteurs. Ils ont ensuite compromis les commandes à distance pour empêcher
empêcher la fermeture des disjoncteurs afin de rétablir l'électricité.
rétablir l'alimentation électrique. En outre, les attaquants ont utilisé
un "wiper" afin de détruire les ordinateurs utilisés pour contrôler le réseau.
détruire, tout en lançant une attaque téléphonique
Ils ont lancé une attaque par déni de service (TDoS), en utilisant les numéros de téléphone du service clientèle.
inondant les numéros du service clientèle, ce qui a permis aux clients qui tentaient de signaler les
signaler des pannes.
Près d'un an plus tard, le 17 décembre 2016, Kiev s'est à nouveau éteinte. lumières se sont éteintes. Une coïncidence ? Probablement pas. malware responsable Industroyer/CrashOverride et était weitaus ausgefeilter. Le malware était équipé de composants modulaires qui pouvaient scanner le pouvaient scanner le réseau pour trouver les commandes SCADA et dont ils connaissaient le maîtrisait la langue. En outre, il disposait d'un composant Wiper permettant de d'effacer le système. L'attaque ne semblait pas pouvoir être menée avec BlackEnergy ou n'était pas liée au fameux outil Wiper KillDisk, mais il était possible de il n'y avait aucun doute sur l'auteur.
Révélation par courriel
En juin 2016, pendant la campagne présidentielle serrée
entre Hillary Clinton et Donald Trump, un nouveau personnage nommé Guccifer 2.0
qui prétendait avoir piraté le Comité national démocrate.
et d'avoir transmis ses e-mails à Wikileaks. Bien que cela soit
n'est pas officiellement attribuée à la Russie, elle est apparue, avec d'autres
d'autres campagnes de désinformation pendant les élections de 2016.
généralement supposé que le Kremlin était derrière tout cela.
Attaques contre la chaîne d'approvisionnement : NotPetya
Les attaques persistantes de la Russie contre l'Ukraine n'étaient pas terminées.
terminées, et le 27 juin 2017, elles ont aggravé la situation en lançant des
en lançant un nouveau malware baptisé NotPetya.
Déguisé en nouveau ransomware, NotPetya a été diffusé via une chaîne de distribution piratée.
chaîne d'approvisionnement d'un fournisseur ukrainien de logiciels de comptabilité.
se propageait. En réalité, il ne s'agissait pas d'un ransomware.
Il a certes crypté un ordinateur, mais n'a pas pu être décrypté.
L'appareil a donc été effectivement effacé et rendu inutilisable.
Les victimes étaient nicht auf ukrainische Unternehmen
étaient limitées. Le malware s'est répandu en quelques heures.
dans le monde entier, touchant surtout les organisations actives en Ukraine.
Ukraine, où le logiciel piégé a été installé.
On estime que NotPetya a provoqué des pertes de plus de 100 millions de dollars.
a causé des dommages d'au moins 10 milliards de dollars US dans le monde entier.
a été enregistré.
Sous un faux drapeau
Lorsque les Jeux olympiques d'hiver de PyeongChang se sont déroulés le 9 février
2018, une autre attaque était sur le point d'être lancée, qui a fait le tour du monde.
tenait le monde en haleine. L'attaque de logiciels malveillants a mis hors service tous les contrôleurs de domaine du réseau olympique.
l'ensemble du réseau olympique, empêchant ainsi
tout, du réseau WLAN aux guichets de billetterie, fonctionnait correctement.
Par miracle, l'équipe informatique a réussi à isoler le réseau,
restaurer et supprimer le logiciel malveillant des systèmes, de sorte que
de sorte que le lendemain matin, tout fonctionnait à nouveau, sans aucune erreur
Il était alors temps de procéder à une analyse des logiciels malveillants,
afin de déterminer qui pouvait attaquer et paralyser l'ensemble du réseau olympique.
voulait paralyser. L'attribution des maliciels est difficile, mais il y avait des
quelques indices qui auraient pu être utiles, ou bien il s'agissait de
de fausses pistes qui indiquaient une tierce partie non impliquée
Les "preuves" semblaient pointer vers la Corée du Nord et la Chine, mais
c'était presque trop évident d'accuser la Corée du Nord. A la fin
Igor Soumenkov de Kaspersky Lab, grâce à un brillant travail de détective, a trouvé
une piste brûlante qui pointait directement vers Moscou.
Quelques années plus tard, juste avant les fêtes de fin d'année 2020, une attaque a été découverte. attaque sur la chaîne d'approvisionnement, qui visait le logiciel SolarWinds Orion, logiciel utilisé pour la gestion de l'infrastructure informatique de l'entreprise. infrastructure réseau de grandes et moyennes entreprises du monde entier. monde, y compris de nombreuses agences fédérales américaines. Les mécanismes de mise à jour du logiciel ont été détournés et utilisés pour l'installation d'une porte dérobée. La célébrité des victimes, en lien avec et l'accès à la porte dérobée installée secrètement. fait de cette attaque l'une des plus grandes et des plus dangereuses. de cyberespionnage les plus dommageables de l'histoire moderne. Le U.S. Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), l'Office of Director of National Intelligence (ODNI) et la National Security Agency (NSA) ont publié une déclaration commune indiquant que leurs enquêtes indiquent que : "...un Advanced Persistent Threat Act, probablement d'origine russe, est responsable de la plupart ou de la totalité des toutes les cyberattaques en cours récemment découvertes contre des réseaux gouvernementaux. et des réseaux non gouvernementaux. A l'heure actuelle, nous nous pensons qu'il s'agit d'une opération de renseignement. action et continuera d'agir".
Le cyberconflit russe en 2022
En 2022, les tensions cyberpolitiques s'intensifient à nouveau.
et sont sur le point de se déchirer. Les 13 et 14 janvier 2022, des sites Internet ont été
de nombreux sites web du gouvernement ukrainien ont été défigurés et des systèmes
ont été infectés par des logiciels malveillants déguisés en ransomware. Plusieurs composantes
de ces attaques rappellent le passé. Le malware était un ransomware.
n'était pas un ransomware, mais simplement un ausgeklügelten Wiper,
comme celui utilisé dans les attaques NotPetya. De plus
de nombreuses fausses pistes ont été laissées, ce qui laisse penser que
qu'il s'agissait de l'œuvre de dissidents ukrainiens ou de Polonais
Détourner l'attention, confondre, nier et tenter de diviser.
semble désormais être le répertoire standard. Le mardi
15 février 2022, une série d'attaques DDoS a été lancée sur des sites ukrainiens
sites gouvernementaux et militaires ainsi que sur trois des plus grandes banques ukrainiennes.
banques ont été lancées. Dans une démarche sans précédent, le Weiße Haus bereits einige Geheimdienstinformationen freigegeben et les attaques ont été attribuées au GRU russe.
Le Playbook russe de la cyber-guerre
Que faire maintenant ? Indépendamment du fait que la situation continue à s'aggraver, les
les cyberopérations vont certainement se poursuivre. Depuis la chute de
Viktor Ianoukovitch en 2014, l'Ukraine est confrontée à un flot constant de
d'attaques, avec des hauts et des bas à des degrés divers.
La "doctrine militaire de la Fédération de Russie" officielle
Fédération" de 2010, on peut lire : “die
vorherige Durchführung von Maßnahmen der Informationskriegsführung, um
politische Ziele ohne den Einsatz militärischer Gewalt zu erreichen, und
in der Folge im Interesse einer positiven Reaktion der Weltgemeinschaft
auf den Einsatz militärischer Gewalt." Cela suggère une
de la poursuite de comportements antérieurs avant un conflit, ce qui fait que
les attaques DDoS comme un signe potentiel de l'imminence d'une
La guerre de l'information permet au Kremlin d'utiliser les moyens de communication
tenter d'influencer la réaction du reste du monde aux actions en Ukraine
ou sur d'autres cibles d'attaques. Fausses pistes, fausses
communication perturbée et la manipulation des médias sociaux.
sont tous des éléments importants de la stratégie de la Russie
concept de guerre de l'information. Elles ne doivent pas servir de couverture permanente à des
créer des activités sur le terrain ou ailleurs, mais simplement de créer
créer suffisamment de retard, de confusion et de contradiction pour que d'autres
opérations se déroulant simultanément puissent atteindre leurs objectifs.
Se préparer et se protéger
Il est intéressant de noter que les États-Unis et le
Royaume-Uni à tenter d'éviter certaines campagnes de désinformation
anticiper, ce qui pourrait limiter leur efficacité. Nous devrions
ne pas s'attendre à ce que les agresseurs cessent leurs tentatives.
Nous devons donc rester préparés et vigilants.
Par exemple, les organisations des pays voisins de l'UE doivent être Ukraine, elles doivent être prêtes à être impliquées dans des escroqueries en ligne. même si elles ne sont pas directement actives en Ukraine. Précédemment attaques et informations erronées ont été transmises à l'Estonie, la Pologne et d'autres pays limitrophes, même si ce n'est qu'à titre de représailles. D'un point de vue global, nous devrions nous attendre à ce que un certain nombre d'indépendants "patriotes" en Russie, c'est-à-dire criminels de ransomware, auteurs de phish et exploitants de réseaux de zombies, avec encore plus d'ardeur. plus que d'habitude contre des cibles considérées comme hostiles à la mère patrie. Il est peu probable que les pays de l'OTAN Russie s'attaque directement aux membres de l'OTAN et qu'elle mette en vigueur des Artikel V risque d'une telle décision. Les récents gestes de la Russie pour endiguer les criminels, par la Fédération de Russie et ses partenaires de la Communauté des États indépendants (CEI), vont toutefois probablement prendre fin et, au contraire, les menaces vont se multiplier Les menaces se multiplient.
Certes, une défense en profondeur devrait être la chose la plus normale au monde. mais elle est particulièrement importante si nous devons faire face à une augmentation de la la fréquence et la gravité des attaques. Le site désinformation et la propagande atteindront bientôt des sommets. mais nous devons rester sur nos gardes, fermer les écoutilles et surveiller nos réseaux pour tout ce qui sort de l'ordinaire alors que les les cycles de conflits s'apaisent - même s'ils se terminent bientôt. Car comme nous le savons tous savons qu'il peut s'écouler des mois avant que des preuves d'une intrusion numérique en rapport avec le conflit russo-ukrainien apparaissent.
Article original du blog de Jörg Schindler - Senior PR Manager chez Sophos