Dans leur dernier rapport, les experts de Kaspersky analysent les activités cyber liées à la crise ukrainienne, leur signification par rapport au conflit actuel, et leurs conséquences en matière de cybersécurité. Ce rapport fait partie du Kaspersky Security Bulletin (KSB), une série annuelle de prédictions et de rapports analytiques sur les changements clés dans le monde de la cybersécurité.
Tribune – L’année 2022 a été marquée par un conflit militaire semblant tout droit sorti du XXème siècle, suscitant l’incertitude vis-à-vis des dangers considérables de propagation des tensions sur le continent. Si l’analyse géopolitique du conflit en Ukraine et de ses conséquences doit être laissée aux experts, un certain nombre d’événements cyber ont eu lieu pendant le conflit et se sont avérés très révélateurs.
« L’histoire de l’année », rédigée par les chercheurs de Kaspersky dans le cadre de la série de rapports annuelle Kaspersky Security Bulletin, retrace chaque étape du conflit armé en Ukraine, les événements qui ont eu lieu dans le cyberespace et leur corrélation avec les opérations sur le terrain.
Ils ont relevé des signes et des pics significatifs révélant des activités de guerre en ligne les jours et les semaines précédant le conflit militaire. Le 24 février 2022, une vague massive d’attaques de pseudo-ransomware et de wiper a été lancée contre des entités ukrainiennes. Bien que certaines de ces attaques aient été très sophistiquées, leur volume a rapidement diminué après la vague initiale, avec un nombre limité d’incidents notables signalés par la suite. Les organisations à mobile idéologique qui se sont manifestées lors de cette première vague d’attaques semblent désormais inactives.
Le 24 février, les Européens dépendant du satellite ViaSat ont été confrontés à d’importantes perturbations de l’accès à l’internet. Ce “cyber-événement” a commencé vers 4h UTC, moins de deux heures après l’annonce publique du début d’une “opération militaire spéciale” en Ukraine par la Fédération de Russie. Le sabotage de ViaSat démontre une fois de plus que les cyberattaques sont un élément constitutif des conflits armés modernes, et qu’elles peuvent directement appuyer des étapes clés d’opérations militaires.
Rien ne permet de prouver que les cyberattaques qui ont eu lieu au cours du conflit ont fait partie d’actions militaires coordonnées de part et d’autre. Toutefois, certaines caractéristiques ont marquées les modalités de la cyberguerre cette année :
-
Les hacktivistes et les attaques DDoS. Le conflit en Ukraine a créé un terrain propice au développement de nouvelles luttes dans le cyberespace de la part de divers groupes, notamment des cybercriminels et des hacktivistes, qui se sont empressés de soutenir leur camp préféré. Certains groupes, comme l’Armée informatique d’Ukraine ou Killnet, ont été officiellement soutenus par des gouvernements, et leurs chaînes Telegram comptent aujourd’hui des centaines de milliers d’abonnés. Si les attaques attribuées aux hacktivistes ont été relativement peu complexes, les experts ont constaté un pic de l’activité DDoS pendant la période estivale, tant en ce qui concerne le nombre d’attaques que leur durée : en 2022, une attaque DDoS moyenne a duré 18,5 heures, soit près de 40 fois plus longtemps qu’en 2021 (environ 28 minutes).
en secondes et par semaine, 2021 vs 2022
Durée totale des attaques DDoS détectées par Kaspersky DDoS Protection en secondes et par semaine, 2021 vs 2022
-
Fuites et piratage. Les attaques les plus sophistiquées enregistrées visaient à détourner l’attention des médias avec des opérations de hack-and-leak, en augmentation depuis le début du conflit. Ces attaques consistent à pénétrer dans une organisation et à publier ses données internes en ligne, souvent via un site Web dédié. Beaucoup plus complexes que des opérations de défaçage, ces attaques infectent aussi des machines ne contenant pas de données internes qui méritent d’être publiées.
-
Dépôts de logiciels open source infectés, exploitation des logiciels open source. Au fur et à mesure que le conflit perdure, les développeurs tout autant que les pirates informatiques peuvent utiliser des logiciels libres populaires comme plateforme de protestation et d’attaque. Les conséquences de ces attaques peuvent s’étendre au-delà du logiciel open source lui-même, se propageant dans d’autres paquets qui reposent automatiquement sur le code trojanisé.
-
La fragmentation. Après le début du conflit en Ukraine en février 2022, de nombreuses entreprises occidentales quittent le marché russe et laissent leurs utilisateurs dans une position délicate lorsqu’il s’agit d’intégrer des mises à jour de sécurité ou de recevoir une assistance. L’absence d’accès aux mises à jour de sécurité est un problème essentiel, qui advient lorsque les fournisseurs mettent fin au SAV de leurs produits, ou quittent le marché.
« Depuis le 24 février, une question nous préoccupe : si le cyberespace est le véritable miroir du conflit en Ukraine, il incarne l’apogée d’une véritable “cyberguerre” contemporaine. En parcourant tous les événements cyber qui ont fait suite aux opérations militaires, nous avons constaté une absence de coordination entre les moyens matériels et virtuels, et à bien des égards, la dimension cyber de la guerre a été reléguée à un rôle subalterne. Les attaques par ransomware observées au cours des premières semaines du conflit sont, au mieux, des distractions. Les attaques cinétiques au moyen de missiles et de drones se sont une fois de plus révélées être une méthode plus efficace pour cibler les infrastructures que les cyberattaques. Néanmoins, les dommages collatéraux et les risques cyber se sont accrus pour les organisations des pays voisins, ce qui exige une attention particulière de la part des autorités. » commente Costin Raiu, directeur de l’équipe Global Research & Analysis de Kaspersky.
Lisez le rapport complet sur le cyberconflit en 2022 sur SecureList.