La guerre hybride en Ukraine – Microsoft On the Issues
Aujourd’hui, nous avons publié un rapport détaillant les cyberattaques russes implacables et destructrices que nous avons observées dans une guerre hybride contre l’Ukraine, et ce que nous avons fait pour aider à protéger le peuple et les organisations ukrainiens. Nous pensons qu’il est important de partager ces informations afin que les décideurs politiques et le public du monde entier sachent ce qui se passe, et que d’autres membres de la communauté de la sécurité puissent continuer à identifier et à se défendre contre cette activité. Tout ce travail est finalement axé sur la protection des civils contre les attaques qui peuvent avoir un impact direct sur leur vie et leur accès aux services essentiels.
Commençant juste avant l’invasion, nous avons vu au moins six acteurs distincts de l’État-nation alignés sur la Russie lancer plus de 237 opérations contre l’Ukraine, y compris des attaques destructrices qui se poursuivent et menacent le bien-être des civils. Les attaques destructrices se sont également accompagnées de vastes activités d’espionnage et de renseignement. Les attaques ont non seulement dégradé les systèmes des institutions en Ukraine, mais ont également cherché à perturber l’accès des populations à des informations fiables et à des services vitaux essentiels dont dépendent les civils, et ont tenté d’ébranler la confiance dans les dirigeants du pays. Nous avons également observé une activité limitée d’attaques d’espionnage impliquant des États membres de l’OTAN, ainsi que certaines activités de désinformation.
Comme le détaille le rapport d’aujourd’hui, l’utilisation des cyberattaques par la Russie semble être fortement corrélée et parfois directement synchronisée avec ses opérations militaires cinétiques ciblant des services et des institutions cruciaux pour les civils. Par exemple, un acteur russe a lancé des cyberattaques contre une grande société de radiodiffusion le 1er mars, le jour même où l’armée russe a annoncé son intention de détruire des cibles de désinformation ukrainiennes et a dirigé une frappe de missiles contre une tour de télévision à Kiev. Le 13 mars, au cours de la troisième semaine de l’invasion, un acteur russe distinct a volé des données à une organisation de sécurité nucléaire des semaines après que des unités militaires russes ont commencé à capturer des centrales nucléaires, suscitant des inquiétudes concernant l’exposition aux radiations et les accidents catastrophiques. Alors que les forces russes assiégeaient la ville de Marioupol, les Ukrainiens ont commencé à recevoir un e-mail d’un acteur russe se faisant passer pour un résident de Marioupol, accusant à tort le gouvernement ukrainien d’abandonner les citoyens ukrainiens.
Les attaques destructrices que nous avons observées, au nombre de près de 40, ciblant des centaines de systèmes, sont particulièrement préoccupantes : 32 % des attaques destructrices ont directement ciblé des organisations gouvernementales ukrainiennes aux niveaux national, régional et municipal. Plus de 40% des attaques destructrices visaient des organisations dans des secteurs d’infrastructures critiques qui pourraient avoir des effets négatifs de second ordre sur le gouvernement, l’armée, l’économie et les civils ukrainiens. Les acteurs impliqués dans ces attaques utilisent diverses techniques pour obtenir un accès initial à leurs cibles, notamment le phishing, l’utilisation de vulnérabilités non corrigées et la compromission des fournisseurs de services informatiques en amont. Ces acteurs modifient souvent leurs logiciels malveillants à chaque déploiement pour échapper à la détection. Notamment, notre rapport attribue les attaques de logiciels malveillants d’effacement que nous avons précédemment divulguées à un acteur d’État-nation russe que nous appelons Iridium.
Le rapport d’aujourd’hui comprend également une chronologie détaillée des cyber-opérations russes que nous avons observées. Les acteurs alignés sur la Russie ont commencé à se prépositionner pour le conflit dès mars 2021, intensifiant les actions contre les organisations à l’intérieur ou alliées à l’Ukraine pour prendre davantage pied dans les systèmes ukrainiens. Lorsque les troupes russes ont commencé à se déplacer vers la frontière avec l’Ukraine, nous avons vu des efforts pour obtenir un accès initial à des cibles qui pourraient fournir des renseignements sur les partenariats militaires et étrangers de l’Ukraine. À la mi-2021, les acteurs russes ciblaient les fournisseurs de la chaîne d’approvisionnement en Ukraine et à l’étranger pour garantir un accès supplémentaire non seulement aux systèmes en Ukraine, mais également aux États membres de l’OTAN. Au début de 2022, lorsque les efforts diplomatiques n’ont pas permis de désamorcer les tensions croissantes autour du renforcement militaire de la Russie le long des frontières de l’Ukraine, des acteurs russes ont lancé des attaques destructrices de logiciels malveillants contre les organisations ukrainiennes avec une intensité croissante. Depuis le début de l’invasion russe de l’Ukraine, des cyberattaques russes ont été déployées pour soutenir les objectifs stratégiques et tactiques de l’armée. Il est probable que les attaques que nous avons observées ne représentent qu’une fraction des activités visant l’Ukraine.
Les équipes de sécurité de Microsoft ont travaillé en étroite collaboration avec les représentants du gouvernement ukrainien et le personnel de cybersécurité des organisations gouvernementales et des entreprises privées pour identifier et corriger les activités de menace contre les réseaux ukrainiens. En janvier de cette année, lorsque le Microsoft Threat Intelligence Center (MSTIC) a découvert des logiciels malveillants d’effacement dans plus d’une douzaine de réseaux en Ukraine, nous avons alerté le gouvernement ukrainien et publié nos conclusions. À la suite de cet incident, nous avons établi une ligne de communication sécurisée avec les principaux cyber-responsables en Ukraine pour nous assurer que nous pourrions agir rapidement avec des partenaires de confiance pour aider les agences gouvernementales, les entreprises et les organisations ukrainiennes à se défendre contre les attaques. Cela inclut le partage 24 heures sur 24, 7 jours sur 7, de renseignements sur les menaces et le déploiement de contre-mesures techniques pour vaincre les logiciels malveillants observés.
Étant donné que les acteurs de la menace russe ont reproduit et intensifié les actions militaires, nous pensons que les cyberattaques continueront de s’intensifier à mesure que le conflit fait rage. Les acteurs de la menace des États-nations russes pourraient être chargés d’étendre leurs actions destructrices en dehors de l’Ukraine pour exercer des représailles contre les pays qui décident de fournir davantage d’assistance militaire à l’Ukraine et de prendre des mesures plus punitives contre le gouvernement russe en réponse à l’agression continue. Nous avons observé des acteurs alignés sur la Russie actifs en Ukraine manifester de l’intérêt ou mener des opérations contre des organisations dans les pays baltes et en Turquie, tous les États membres de l’OTAN fournissant activement un soutien politique, humanitaire ou militaire à l’Ukraine. Les alertes publiées par la CISA et d’autres agences gouvernementales américaines, ainsi que les cyber-officiels d’autres pays, doivent être prises au sérieux et les mesures de défense et de résilience recommandées doivent être prises en particulier par les agences gouvernementales et les entreprises d’infrastructures critiques. Notre rapport comprend des recommandations spécifiques pour les organisations qui peuvent être ciblés par des acteurs russes ainsi que des informations techniques pour la communauté de la cybersécurité. Nous continuerons à fournir des mises à jour au fur et à mesure que nous observerons l’activité et pensons pouvoir divulguer en toute sécurité de nouveaux développements.