Dans leur dernier rapport, les experts de Kaspersky ont analysé les activités du cyberespace liées à la crise ukrainienne, observant leur signification par rapport au conflit actuel, et leur impact sur le domaine de la cybersécurité. Ce rapport fait partie du Kaspersky Security Bulletin (KSB) – une série annuelle de prédictions et de rapports analytiques sur les changements clés dans le monde de la cybersécurité.
L’année 2022 a été marquée par un conflit militaire digne du 20e siècle – qui a apporté de l’incertitude et des risques sérieux de propagation sur le continent. Si l’analyse géopolitique plus large du conflit en Ukraine et de ses conséquences doit être laissée aux experts, un certain nombre d’événements cyber ont eu lieu en parallèle au conflit armé, et se sont avérés très importants.
L’histoire de l’année, préparée par les chercheurs de Kaspersky dans le cadre du Kaspersky Security Bulletin annuel, retrace chaque étape du conflit armé en Ukraine, sur les événements qui se sont déroulés dans le cybersécurité et sur leur corrélation avec les activités sur le terrain.
Un certain nombre de signes et de pics significatifs de cyberguerre ont été observés dans les jours et semaines précédant le conflit militaire. Le 24 février 2022 a été le terrain d’une vague massive d’attaques de wiper et de pseudo-ransomware touchant indistinctement des entités ukrainiennes. Certaines étaient très sophistiquées, mais le volume des attaques par wiper et ransomware a rapidement diminué après la vague initiale, avec un nombre limité d’incidents notables signalés par la suite. Les groupes à motivation idéologique qui se sont présentés lors de la première vague d’attaques semblent désormais inactifs.
Le 24 février, les européens connectés via le satellite de ViaSat ont subi des perturbations majeures d’accès à Internet. Cet événement cyber a débuté aux alentours de 5h CET, moins de 2h après que la Fédération de Russie ait annoncé publiquement le début d’une « opération militaire spéciale » en Ukraine. Le sabotage de ViaSat a démontré une fois encore que les cyberattaques sont élément de base des conflits armés modernes et peuvent soutenir directement les étapes clés des opérations militaires.
Au fur et à mesure de l’évolution du conflit, aucune preuve n’existe que ces cyberattaques faisaient partie des actions militaires coordonnées, d’un côté ou de l’autre. Toutefois, il existe plusieurs caractéristiques qui définissent les cyber confrontations de 2022 :
- Des attaques DDOS et d’hacktivistes. Le conflit en Ukraine a créé un terrain fertile pour de nouvelles activités de cyberguerre menées par divers groupes, cybercriminels et hacktivistes inclus, souhaitant soutenir leur partie. Certains groupes tels que l’Armée IT d’Ukraine ou Killnet ont officiellement été soutenus par des gouvernements et leurs chaines Telegram comptent des centaines de milliers d’abonnés. Alors que les attaques perpétrées par des hacktivistes étaient de complexité relativement faible, les experts ont constaté un pic dans les activités DDoS pendant l’été – à la fois en termes de nombre d’attaques, qu’en termes de durée : en 2022 une attaque DDoS moyenne a duré 18,5h – environ 40 fois plus longue qu’en 2021 (28mn environ).
Durée totale d’attaques DDoS détectées par kaspersky DDoS protection, en secondes, par semaine. 2021 vs 2022
- Hack and leak. Les attaques les plus sophistiquées ont tenté de capter l’attention médiatique avec des opérations de « hack and leak », et n’ont cessé d’augmenter depuis le début du conflit. De telles attaques reviennent à pénétrer une organisation et publier ses données internes en ligne, souvent via des sites dédiés. C’est bien plus compliqué qu’une simple opération de dégradation, puisque toutes les machines ne détiennent pas des informations qui méritent d’être diffusées.
- Dépôts open source empoisonnés, transformant des logiciels open source en armes. Au fur et à mesure que le conflit s’éternise, des développeurs ou des pirates informatiques peuvent utiliser des paquets open source populaires comme plate-forme de protestation ou d’attaque. L’impact de ces attaques peut s’étendre au-delà du logiciel open source lui-même, se propageant dans d’autres paquets qui s’appuient automatiquement sur le code infecté.
- Suite au déclenchement de la guerre en Ukraine en février 2022, de nombreuses entreprises occidentales ont choisi de quitter le marché russe et de laisser leurs utilisateurs dans une position délicate en ce qui concerne la réception des mises à jour de sécurité ou le support – or, les mises à jour sont probablement la principale problématique quand des éditeurs arrêtent le support de certains produits ou quittent le marché.
« Depuis le 24 février, une question nous taraude, à savoir, si le cyberespace est le véritable reflet du conflit en Ukraine, il représente l’apogée d’une véritable « cyberguerre » moderne. En parcourant tous les événements qui ont suivi les opérations militaires dans le cyberespace, nous avons été témoins d’une absence de coordination entre les moyens cyber et les moyens cinétiques, qui, de multiples façons ont relégué l’offensive cyber à un rôle subordonné. Les attaques ransomware observées dans les premières semaines du conflit peuvent au mieux, être qualifiées de diversions. Les attaques cinétiques aux moyens de missiles et de drones ont dépassé de loin les cyberattaques dans la destruction des infrastructures. Néanmoins, les dommages collatéraux et les risques cyber ont fortement augmenté dans les organisations des pays alentours à cause du conflit, qui requièrent donc plus que jamais, des mesures de défense avancées » commente Costin Raiu, Directeur de la Global Research and Analysis Team chez Kaspersky.
Pour lire le rapport complet sur la confrontation cyber de 2022, rendez-vous sur Securelist.