WASHINGTON – Pendant des semaines après le déclenchement de la guerre en Ukraine, les responsables américains se sont interrogés sur l’arme qui semblait manquer : le puissant cyberarsenal russe, dont la plupart des experts s’attendaient à ce qu’il soit utilisé dans les heures d’ouverture d’une invasion pour faire tomber le réseau électrique ukrainien, griller son système de téléphonie mobile et couper le président Volodymyr Zelensky du monde.
Rien de tout cela n’est arrivé. Mais dans une nouvelle étude publiée mercredi par Microsoft, il est maintenant clair que la Russie a utilisé son équipe A de hackers pour mener des centaines d’attaques beaucoup plus subtiles, souvent programmées pour coïncider avec des missiles entrants ou des attaques au sol. Et il s’est avéré que, tout comme dans la guerre terrestre, les Russes étaient moins habiles et les Ukrainiens étaient de meilleurs défenseurs que la plupart des experts ne s’y attendaient.
“Ils ont déployé des efforts destructeurs, ils ont déployé des efforts d’espionnage, ils ont amené tous leurs meilleurs acteurs à se concentrer là-dessus”, a déclaré Tom Burt, qui supervise les enquêtes de Microsoft sur les cyberattaques les plus importantes et les plus complexes visibles sur ses réseaux mondiaux. Mais il a également noté que bien qu'”ils aient eu un certain succès”, les Russes se sont heurtés à une défense solide de la part des Ukrainiens qui ont bloqué certaines des attaques en ligne.
Le rapport ajoute une subtilité considérable à la compréhension des premiers jours de la guerre, lorsque les bombardements et les mouvements de troupes étaient évidents, mais les cyberopérations étaient moins visibles – et plus difficiles à blâmer, du moins dans l’immédiat, sur les principales agences de renseignement russes.
Mais il devient maintenant clair que la Russie a utilisé des campagnes de piratage pour soutenir sa campagne terrestre en Ukraine, associant des logiciels malveillants à des missiles dans plusieurs attaques, y compris contre des chaînes de télévision et des agences gouvernementales, selon les recherches de Microsoft. Le rapport démontre l’utilisation persistante par la Russie des cyberarmes, bouleversant les premières analyses qui suggéraient qu’elles n’avaient pas joué un rôle de premier plan dans le conflit.
“Ce fut une cyberguerre implacable qui a parallèlement, et dans certains cas directement soutenu, la guerre cinétique”, a déclaré M. Burt. Des pirates informatiques affiliés à la Russie menaient des cyberattaques “quotidiennement, 24 heures sur 24, 7 jours sur 7, depuis des heures avant le début de l’invasion physique”, a-t-il ajouté.
Microsoft n’a pas pu déterminer si les pirates russes et ses troupes avaient simplement reçu des objectifs similaires à poursuivre ou avaient activement coordonné leurs efforts. Mais les cyberattaques russes frappent souvent quelques jours – et parfois quelques heures – après une activité sur le terrain.
Des semaines précédant l’invasion jusqu’en mars, au moins six groupes de piratage d’États-nations russes ont lancé plus de 237 opérations contre des entreprises et des agences gouvernementales ukrainiennes, a déclaré Microsoft dans son rapport. Les attaques visaient souvent à détruire des systèmes informatiques, mais certaines visaient également à recueillir des renseignements ou à diffuser des informations erronées.
Bien que la Russie se soit régulièrement appuyée sur les logiciels malveillants, l’espionnage et la désinformation pour faire avancer son programme en Ukraine, il semble que Moscou tentait de limiter ses campagnes de piratage pour rester à l’intérieur des frontières de l’Ukraine, a déclaré Microsoft, peut-être dans le but d’éviter d’entraîner les pays de l’OTAN dans le conflit.
Les attaques étaient sophistiquées, les pirates russes apportant souvent de petites modifications aux logiciels malveillants qu’ils utilisaient dans le but d’échapper à la détection.
Mis à jour
27 avril 2022, 15 h 07 HE
“C’est définitivement l’équipe A”, a déclaré M. Burt. “Il s’agit essentiellement de tous les acteurs clés de l’État-nation.”
Pourtant, les défenseurs ukrainiens ont pu contrecarrer certaines des attaques, s’étant habitués à repousser les pirates informatiques russes après des années d’intrusions en ligne en Ukraine. Lors d’une conférence de presse mercredi, des responsables ukrainiens ont déclaré qu’ils pensaient que la Russie avait mis toutes ses cybercapacités au service du pays. Pourtant, l’Ukraine a réussi à repousser de nombreuses attaques, ont-ils ajouté.
Microsoft a détaillé plusieurs attaques qui semblaient montrer une cyberactivité parallèle et une activité au sol.
Le 1er mars, des cyberattaques russes ont frappé des entreprises de médias à Kiev, y compris un important réseau de diffusion, utilisant des logiciels malveillants visant à détruire les systèmes informatiques et à voler des informations, a déclaré Microsoft. Le même jour, des missiles ont détruit une tour de télévision à Kiev, coupant certaines stations en ondes.
L’incident a démontré l’intérêt de la Russie à contrôler le flux d’informations en Ukraine pendant l’invasion, a déclaré Microsoft.
Un groupe affilié au GRU, une agence de renseignement militaire russe, a piraté le réseau d’une agence gouvernementale à Vinnytsia, une ville au sud-ouest de Kiev, le 4 mars. Le groupe, qui était auparavant lié au vol d’e-mails liés à l’élection présidentielle de 2016 d’Hillary Clinton campagne, a mené des attaques de phishing contre des responsables militaires et des employés du gouvernement régional dans le but de voler les mots de passe de leurs comptes en ligne.
Guerre russo-ukrainienne : principaux développements
Carte 1 sur 3
Explosions dans les régions frontalières. La Transnistrie, une région séparatiste de la Moldavie sur le flanc ouest de l’Ukraine, a été frappée par des explosions qui, selon l’Ukraine, ont été menées par la Russie comme prétexte pour envahir l’Ukraine de ce côté. Des responsables locaux de trois districts russes frontaliers de l’Ukraine ont signalé plus tard des explosions nocturnes, faisant planer le spectre d’un conflit plus large débordant les frontières de l’Ukraine.
Les tentatives de piratage ont représenté un pivot pour le groupe, qui concentre généralement ses efforts sur les bureaux nationaux plutôt que sur les gouvernements régionaux, a déclaré Microsoft.
Deux jours après les tentatives de phishing, des missiles russes ont frappé un aéroport à Vinnytsia, endommageant des tours de contrôle du trafic aérien et un avion. L’aéroport n’était à proximité d’aucune zone de combat au sol à l’époque, mais il y avait une présence militaire ukrainienne.
Les pirates informatiques et les troupes russes ont de nouveau semblé agir de concert le 11 mars, lorsqu’une agence gouvernementale à Dnipro a été la cible de logiciels malveillants destructeurs, selon Microsoft, tandis que des bâtiments gouvernementaux à Dnipro ont été touchés par des frappes.
Des parallèles sont également apparus entre les campagnes de désinformation russes qui répandent de fausses rumeurs selon lesquelles l’Ukraine développe des armes biologiques et le ciblage d’installations nucléaires en Ukraine. Début mars, les troupes russes ont capturé l’installation nucléaire de Zaporizhzhia, la plus grande centrale nucléaire d’Europe. Au cours de la même période, des pirates informatiques russes ont travaillé pour voler des données à des organisations nucléaires et à des instituts de recherche en Ukraine qui pourraient être utilisées pour approfondir des récits de désinformation, a déclaré Microsoft.
L’un des groupes, qui est affilié au Service fédéral de sécurité russe et a l’habitude de cibler des entreprises des secteurs de l’énergie, de l’aviation et de la défense, a pu voler des données à une organisation ukrainienne de sécurité nucléaire entre décembre et mi-mars, a déclaré Microsoft.
Fin mars, les pirates informatiques russes commençaient à se concentrer sur l’est de l’Ukraine, alors que l’armée russe commençait à y réorganiser ses troupes. On sait peu de choses sur les campagnes de piratage soutenues par la Russie qui ont eu lieu en avril, alors que les enquêtes sur bon nombre de ces épisodes se poursuivent.
“Les Ukrainiens eux-mêmes ont été de meilleurs défenseurs que prévu, et je pense que c’est vrai des deux côtés de cette guerre hybride”, a déclaré M. Burt. “Ils ont fait du bon travail, à la fois en se défendant contre les cyberattaques et en s’en remettant lorsqu’ils réussissent.”
