Les redoutables cyberguerriers russes semblent se débattre en Ukraine

Un jour après que les chars russes ont franchi les postes-frontières ukrainiens le 24 février, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis une rare alerte « Shields Up » avertissant que « chaque organisation – grande et petite – doit être prête à répondre à la cybersécurité perturbatrice ». activité. »

On s’attendait à ce que la Russie attaque non seulement l’Ukraine mais aussi les alliés occidentaux de l’Ukraine.

Pour une raison quelconque, cela ne s’est pas vraiment produit de manière importante.

« Nous n’avons rien vu que nous puissions directement attribuer au fait que la Russie se tourne vers le Canada », a déclaré Sami Khoury, chef du Centre canadien pour la cybersécurité, à CBC News. « Il y a probablement eu des retombées dans certains cas, mais nous n’avons rien vu qui cible directement l’infrastructure canadienne ou l’écosystème canadien. »

Au lieu de cela, la Russie a trouvé lui-même être piraté – dans un cas avec des résultats embarrassants cela a sûrement dû gâcher l’extravagance du jour de la victoire du président Vladimir Poutine.

Alors que RuTube, la version russe de YouTube, a été supprimée par des pirates, YouTube lui-même est resté en ligne en Russie et a continué à partager des vidéos démontrant la domination de l’Ukraine sur l’espace de l’information dans cette guerre.

Des groupes hacktivistes tels que Network Battalion 65 ont volé des tonnes de courriels et des données provenant de sites gouvernementaux et d’entreprises russes. En mars, pour la toute première fois, plus d’identifiants de messagerie russes ont été divulgués en ligne que ceux de tout autre pays.

Les pirates informatiques russes n’ont même pas réussi à perturber le vote au concours Eurovision de la chanson. (L’Ukraine a gagné.)

Tout comme les divisions blindées russes sont entrées dans ce conflit avec une réputation redoutable qui s’est avérée largement exagérée, la portée des cyber-légions de Moscou a peut-être été surestimée. Et tout comme la guerre de la Russie a diminué la réputation des armes russes, elle pourrait également conduire à une réévaluation des forces relatives des nations dans le monde virtuel.

Craignant le pire

L’Ukraine avait toutes les raisons de s’attendre au pire. Des attaques en ligne s’y produisent depuis le début de la guerre en 2014.

Un « groupe de menaces persistantes » russe connu sous le nom de Sandworm était à l’origine d’une attaque en décembre 2015 contre le réseau électrique ukrainien qui a provoqué des pannes de courant généralisées.

Un an plus tard, en décembre 2016, le système financier ukrainien a été ciblé par l’attaque du malware Black Energy qui a également provoqué des coupures de courant à Kiev.

Puis, en juin 2017, le même groupe a de nouveau frappé avec un nouveau malware puissant appelé Petya, provoquant le chaos dans les ministères, forçant les banques à fermer, bloquant les réseaux de télécommunications et perturbant à nouveau le réseau électrique ukrainien. Les aéroports et les chemins de fer ont été touchés et le système de surveillance des radiations de Tchernobyl a été mis hors ligne.

Les responsables ukrainiens et occidentaux ont imputé les attaques au GRU (direction principale du renseignement) et au SVR (service de renseignement étranger) russes.

L’année dernière, le service de sécurité ukrainien SBU a annoncé avoir « neutralisé » en moyenne quatre cyberattaques par jour.

Il était donc largement admis qu’une armée de bots agirait comme avant-garde pour toute véritable invasion en essayant de couper l’électricité et les communications, d’obstruer les liaisons de transport et de semer généralement la confusion.

La Russie a tenté quelque chose de modeste dans ce sens.

À la mi-janvier, une cyberattaque a frappé environ 70 sites Web du gouvernement ukrainien quelques heures après que les pourparlers entre la Russie et l’OTAN n’aient pas abouti aux concessions que le Kremlin espérait.

« Toutes les informations vous concernant sont devenues publiques, ayez peur et attendez-vous au pire », a déclaré un message d’écran contextuel. « C’est pour votre passé, votre présent et votre futur. » Il répétait les tropes familiers du Kremlin sur les nazis et la persécution des russophones.

En plus de toucher des sites gouvernementaux et militaires, les attaques par déni de service distribué (DDOS) ont également ciblé deux banques, fermant les distributeurs automatiques de billets et les transactions par carte de crédit.

Pirater et attaquer

La Russie a lancé une autre cyberattaque contre l’Ukraine le jour de l’invasion avec un logiciel malveillant appelé Hermetic Wiper qui ciblait les disques durs.

La semaine dernière, le gouvernement canadien a accusé l’armée russe d’avoir « directement ciblé le service Internet par satellite Viasat KA-SAT en Ukraine » en février. Le gouvernement britannique affirme que l’attaque a également touché des cibles collatérales telles que des parcs éoliens d’Europe centrale.

Mais les trains ont continué à circuler et le gouvernement ukrainien a continué à fonctionner. L’attaque a été beaucoup moins dommageable que l’attaque de 2007 contre l’Estonie ou les attaques qui ont précédé l’invasion de la Géorgie en 2008.

Ali Dehghantanha, titulaire de la chaire de recherche du Canada sur la cybersécurité et le renseignement sur les menaces à l’Université de Guelph, a déclaré que la Russie avait peut-être sous-utilisé ses cybercapacités offensives parce qu’elle était convaincue d’une victoire militaire rapide.

Mais l’Ukraine est aussi mieux défendue après des années d’attaques successives, a-t-il ajouté.

« En raison de leur histoire précédente avec la Russie », a déclaré Dehghantanha, « en remontant à l’époque du conflit en Crimée, l’Ukraine – avec le soutien des alliés occidentaux – a fait un très bon travail en protégeant son infrastructure physique cette fois. »

Implication occidentale

Ces partenaires occidentaux comprennent l’agence de contre-espionnage numérique du Canada, le Centre de la sécurité des télécommunications.

« Bien que nous ne puissions pas parler d’opérations spécifiques, nous pouvons confirmer que le CST a suivi les activités de cybermenaces associées à la crise actuelle », a déclaré Ryan Foreman du CST à CBC News.

« Le CST partage de précieux renseignements sur les cybermenaces avec des partenaires clés en Ukraine et continue de travailler avec les Forces armées canadiennes pour soutenir l’Ukraine.

Le CST doit aussi se soucier des actifs du Canada, bien entendu.

Depuis des années, des cyberattaques majeures sur des actifs nord-américains se produisent avec une certaine régularité. La CISA a compilé une longue liste d’actifs en ligne américains qu’elle considère comme des cibles convoitées pour les opérations de perturbation et de vol de la Russie, notamment « la recherche COVID-19, les gouvernements, les organisations électorales, les soins de santé et pharmaceutiques, la défense, l’énergie, les jeux vidéo, le nucléaire, les installations commerciales , l’eau, l’aviation et la fabrication critique. »

« La Russie a d’importantes capacités cybernétiques et une histoire démontrée de leur utilisation irresponsable. Cela comprend Cyber ​​compromission de SolarWinds, Développement du vaccin COVID-19, Le processus démocratique géorgien et Logiciel malveillant NotPetya« , a déclaré Foreman à CBC.

Tactiques de fusil de chasse

Dehghantanha a déclaré que les pirates informatiques parrainés par l’État s’éloignent désormais de la création des logiciels malveillants les plus sophistiqués pour adopter une approche plus scattergun, qui consiste à installer des portes dérobées plus simples dans un large éventail de cibles d’infrastructure moins bien défendues.

« Avant 2020, nous avons vu beaucoup d’efforts pour créer le meilleur malware ou le meilleur essuie-glace ou les meilleurs exploits », a-t-il déclaré. « Le problème est que si votre adversaire découvre ce logiciel malveillant, il en sait beaucoup sur vous, sur vos capacités, sur tous vos investissements.

« Donc, si vous venez avec le logiciel malveillant le plus avancé, cela peut vous prendre deux ou trois ans de recherche et développement. Mais à partir du moment où il est déployé et que vous commencez à avoir un impact, il ne leur faut que quelques semaines pour y remédier. »

Hacktivistes sur le champ de bataille

Dehghantanha a déclaré que les acteurs russes ont eu un certain succès dans le domaine émergent de la « cybersécurité sociale », où les pirates se comportent davantage comme des hacktivistes.

« Le coût de la création de faux contenus qui semblent très convaincants pour le grand public est assez faible de nos jours », a-t-il déclaré. « Et je vois un changement rapide dans les activités des groupes de piratage dans cette direction. Au lieu d’essayer d’avoir un impact sur l’infrastructure du capital ou l’infrastructure informatique, nous pouvons avoir un impact sur les êtres humains et obtenir le même résultat. »

Un exemple d’une telle attaque « faux hacktiviste » serait une campagne de désinformation conçue pour semer la panique dans un village ou un district particulier.

« Ils essaient d’avoir un impact à ce niveau micro », a déclaré Dehghantanha.

L’Ukraine a également averti qu’elle n’avait peut-être pas encore ressenti tous les effets du piratage russe.

Le haut responsable cyber du pays, Victor Zhora, a récemment déclaré que la Russie avait volé des données du gouvernement ukrainien pour donner à ses forces une liste de cibles à arrêter ou à assassiner dans les zones occupées. Il a dit qu’il craignait que les données ne soient déjà utilisées.

Le ventre reste mou

Le Canada reste vulnérable, a déclaré Dehghantanha – « en particulier les ventres mous des infrastructures essentielles comme les systèmes de traitement de l’eau, le secteur agricole, toute chaîne d’approvisionnement et, bien sûr, les pipelines ».

De plus en plus, des acteurs hostiles ont semé des logiciels malveillants à l’avance en vue d’attaques dans les mois ou les années à venir. Dehghantanha a déclaré que le Canada devrait resserrer ses exigences pour les entreprises privées qui gèrent des infrastructures essentielles.

« Nous devons changer notre politique de liste noire en liste blanche, ce qui signifie qu’au lieu de vous dire que vous ne pouvez pas installer A, B et C, et que tout le reste est autorisé, nous devons dire que vous ne pouvez travailler qu’avec A, B et C et rien le reste est autorisé », a-t-il déclaré.

« Il n’y a aucun moyen, aucune ressource pour la nation de tout surveiller. Il vaut donc mieux que nous nous limitions à des fournisseurs spécifiques, à un produit spécifique que nous connaissons. »

L’équilibre peut changer rapidement

Foreman a déclaré que le CST est en contact constant « avec les partenaires canadiens des infrastructures essentielles via des canaux protégés », au-delà de ce qui est vu dans ses avis publics.

« Il est maintenant temps de prendre des mesures défensives et d’être proactif », a-t-il ajouté.

Cela signifie isoler les systèmes critiques d’Internet, créer et tester des sauvegardes et tester des contrôles manuels pour s’assurer que les systèmes critiques fonctionnent toujours lorsque les réseaux échouent, a-t-il déclaré.

Dehghantanha a déclaré qu’il hésitait à minimiser la menace posée par la Russie simplement parce qu’elle a été déçue en Ukraine.

« La cyberguerre n’est pas comme un équilibre où l’on peut dire que j’ai des canons plus gros ou plus d’avions, donc je suis supérieur. Ce n’est pas du tout le cas ici », a-t-il déclaré.

« Vous pourriez avoir seulement dix cyber-attaquants fantastiques qui pourraient créer un exploit et accéder à cette infrastructure critique, et ils apporteraient un changement significatif. »