De nouveaux rapports ont fait état de campagnes de piratage liées directement et indirectement à la guerre de la Russie en Ukraine, ces histoires mettant davantage en lumière un élément opaque de l'invasion : la cyberguerre. De nombreux experts ont prédit que la Russie lancerait d'importantes cyberattaques en Ukraine, coupant par exemple le réseau électrique du pays. Mais alors que des opérations à grande échelle ne se sont pas matérialisées, des rapports de petites incursions commencent à émerger.
Lundi, Google a déclaré avoir découvert des attaques de phishing généralisées visant des responsables ukrainiens et des militaires polonais. L'équipe de sécurité Resecurity Inc a également partagé les preuves d'une campagne de piratage coordonnée ciblant les entreprises américaines qui fournissent du gaz naturel (une matière première devenue critique alors que les sanctions occidentales pèsent sur les exportations énergétiques russes). Dans les deux cas, les attaques pourraient être liées à des groupes associés à la Russie et à ses alliés.
Google a attribué les attaques au groupe de piratage russe Fancy Bear
Le groupe d'analyse des menaces (TAG) de Google a déclaré que la campagne de phishing ciblait les utilisateurs d'UkrNet, une société de médias ukrainienne, ainsi que “les organisations gouvernementales et militaires polonaises et ukrainiennes”. Des attaques ont été menées par des groupes tels que le groupe biélorusse Ghostwriter et l'acteur menaçant russe Fancy Bear. Ce dernier groupe est associé à l'agence de renseignement militaire russe GRU et était responsable des piratages de courrier électronique démocrates en 2016.
“Au cours des deux dernières semaines, TAG a observé l'activité d'un éventail d'acteurs malveillants que nous surveillons régulièrement et qui sont bien connus des forces de l'ordre, notamment FancyBear et Ghostwriter”, a écrit Shane Huntley de Google dans un article de blog. « Cette activité va de l'espionnage aux campagnes de phishing. Nous partageons ces informations pour aider à sensibiliser la communauté de la sécurité et les utilisateurs à haut risque. »
La campagne ciblant les entreprises américaines de gaz naturel a réussi à infiltrer plus de 100 ordinateurs appartenant à des employés et anciens employés. Comme l'a rapporté Bloomberg News, les motifs de l'opération sont inconnus, mais Resecurity a décrit le travail comme un “pré-positionnement” – le piratage de machines pour se préparer à une opération plus vaste.
Les attaques ont commencé deux semaines avant l'invasion de l'Ukraine, et prendre pied chez les fournisseurs de gaz américains offrirait certainement de nombreuses opportunités de levier géopolitique. Alors que les nations européennes ont cherché à se sevrer du gaz naturel russe dans le cadre d'une série de sanctions économiques, les entreprises énergétiques aux États-Unis ont intensifié leur approvisionnement, faisant des États-Unis le premier fournisseur mondial de gaz naturel liquéfié ou GNL.
Le PDG de Resecurity, Gene Yoo, a déclaré à Bloomberg qu'il pensait que l'attaque avait été menée par des pirates informatiques parrainés par l'État, mais n'a pas spéculé sur qui cela pourrait être. Bloomberg lui-même note que l'un des pirates impliqués avait des liens avec les attaques menées par Fancy Bear (bien que sous son surnom de Strontium, comme indiqué par l'équipe de recherche sur la sécurité de Microsoft).