Depuis que la Russie a lancé son invasion catastrophique à grande échelle de l’Ukraine en février, la cyberguerre qu’elle mène depuis longtemps contre son voisin est également entrée dans une nouvelle ère – une ère dans laquelle la Russie a parfois semblé essayer de déterminer le rôle de ses opérations de piratage au milieu d’une guerre terrestre brutale et physique. Maintenant, selon les conclusions d’une équipe d’analystes en cybersécurité et de premiers intervenants, au moins une agence de renseignement russe semble s’être installée dans un nouvel ensemble de tactiques de cyberguerre : celles qui permettent des intrusions plus rapides, violant souvent la même cible plusieurs fois en seulement mois, et parfois même en maintenant un accès furtif aux réseaux ukrainiens tout en détruisant autant que possible les ordinateurs qu’ils contiennent.
Lors de la conférence sur la sécurité CyberwarCon à Arlington, en Virginie, aujourd’hui, les analystes de la société de sécurité Mandiant ont présenté un nouvel ensemble d’outils et de techniques qu’ils disent que l’agence de renseignement militaire russe GRU utilise contre des cibles en Ukraine, où les pirates du GRU ont pendant des années porté déjouer bon nombre des cyberattaques les plus agressives et les plus destructrices de l’histoire. Selon les analystes de Mandiant, Gabby Roncone et John Wolfram, qui affirment que leurs conclusions sont basées sur des mois de cas de réponse aux incidents ukrainiens de Mandiant, le GRU est passé en particulier à ce qu’ils appellent « vivre à la limite ». Au lieu des attaques de phishing que les pirates du GRU utilisaient généralement dans le passé pour voler les informations d’identification des victimes ou implanter des portes dérobées sur les ordinateurs des utilisateurs involontaires au sein des organisations cibles, ils ciblent désormais les appareils « périphériques » tels que les pare-feu, les routeurs et les serveurs de messagerie, exploitant souvent vulnérabilités de ces machines qui leur donnent un accès plus immédiat.
Ce changement, selon Roncone et Wolfram, a offert de multiples avantages au GRU. Cela a permis aux pirates militaires russes d’avoir des effets beaucoup plus rapides et plus immédiats, pénétrant parfois un réseau cible, étendant leur accès à d’autres machines du réseau et déployant des logiciels malveillants destructeurs de données quelques semaines plus tard, par rapport aux mois des opérations précédentes. Dans certains cas, cela a permis aux pirates de pénétrer le même petit groupe de cibles ukrainiennes plusieurs fois en succession rapide pour les attaques d’essuie-glace et le cyberespionnage. Et parce que les appareils périphériques qui permettent au GRU de s’implanter dans ces réseaux ne sont pas nécessairement effacés par les cyberattaques de l’agence, leur piratage a parfois permis au GRU de conserver son accès à un réseau victime même après avoir effectué une opération de destruction de données.
“Stratégiquement, le GRU doit équilibrer les événements perturbateurs et l’espionnage”, a déclaré Roncone à WIRED avant sa conférence CyberwarCon avec Wolfram. “Ils veulent continuer à imposer la douleur dans tous les domaines, mais ils sont aussi un appareil de renseignement militaire et doivent continuer à collecter plus de renseignements en temps réel. Ils ont donc commencé à “vivre à la périphérie” des réseaux cibles pour que cette constante soit prête. -fait l’accès et permet ces opérations rapides, à la fois pour les perturbations et l’espionnage.”
Dans une chronologie incluse dans leur présentation, Roncone et Wolfram soulignent pas moins de 19 cyberattaques destructrices que la Russie a menées en Ukraine depuis le début de cette année, avec des cibles dans les secteurs de l’énergie, des médias, des télécommunications et de la finance du pays, ainsi que organismes gouvernementaux. Mais au sein de ce barrage soutenu de cyberguerre, les analystes de Mandiant citent quatre exemples distincts d’intrusions où, selon eux, l’accent mis par le GRU sur le piratage des appareils de pointe a permis son nouveau rythme et ses nouvelles tactiques.
Dans un cas, disent-ils, les pirates du GRU ont exploité la vulnérabilité des serveurs Microsoft Exchange connue sous le nom de ProxyShell pour prendre pied sur un réseau cible en janvier, puis ont frappé cette organisation avec un essuie-glace le mois suivant, au début de la guerre. Dans un autre cas, les intrus du GRU ont obtenu l’accès en compromettant le pare-feu d’une organisation en avril 2021. Lorsque la guerre a commencé en février, les pirates ont utilisé cet accès pour lancer une attaque d’effacement sur les machines du réseau victime, puis ont maintenu l’accès via le pare-feu qui leur a permis de lancer une autre attaque d’essuie-glace contre l’organisation un mois plus tard. En juin 2021, Mandiant a observé le retour du GRU dans une organisation qu’il avait déjà frappée par une attaque d’effacement en février, exploitant les informations d’identification volées pour se connecter à son serveur de messagerie Zimbra et retrouver l’accès, apparemment à des fins d’espionnage. Et dans un quatrième cas, au printemps dernier, les pirates ont ciblé les routeurs d’une organisation grâce à une technique connue sous le nom de tunnellisation GRE qui leur a permis de créer une porte dérobée furtive dans son réseau, quelques mois seulement après avoir frappé ce réseau avec des logiciels malveillants d’effacement au début de la guerre.