Géopolitique et cybersécurité : la menace cyber exacerbée par le conflit en Ukraine

Les cyberattaques fomentées par un État-nation ne représentent que la partie émergée de l'iceberg. Dans le conflit Russo-Ukrainien, la plupart des menaces proviennent de groupes opportunistes.

L’avancée des forces russes en Ukraine a suscité une vive condamnation sur la scène internationale. De nombreux pays et entreprises à l’Ouest ont réagi fermement en imposant un nouveau panel de sanctions contre la Russie.  

Si l’impact de ces sanctions sur l’issue même du conflit reste à déterminer, celles-ci provoquent déjà de profondes perturbations dans l’ensemble de la région. Le gouvernement américain et son homologue britannique ont tous deux averti qu’en représailles, une multiplication des attaques cyber visant les entreprises et les administrations publiques en occident était à prévoir. 

L’implication latente du gouvernement russe dans des activités de cyber ingérence n’est plus à prouver, comme en témoigne la mise en accusation de six officiers du GRU (les services de renseignement militaire russes) par le Département américain de la Justice, pour leur implication dans une série d’attaques cyber mondiales dont celles de spear phishing visant les élections présidentielles françaises de 2017, attribuées à l’officier Anatoliy Sergevich Kovalev. 

Cependant, ce type d’attaque fomentée par un État-nation n’est que la partie émergée de l’iceberg. Dans le conflit Russo-Ukrainien, nous constatons que la plupart des menaces proviennent de groupes opportunistes de cybercriminels qui adaptent et ciblent leurs appâts pour tirer parti de la confusion ambiante et des initiatives de désinformation déjà engagées.   

De nouvelles formes d’attaques font aussi surface. Dites inversées, celles-ci sont diligentées par des groupes de hackers de type Anonymous, qui ciblent les entreprises occidentales pour les inciter à clore leurs opérations en Russie. La menace cyber, toile de fond du conflit armé, évolue donc de façon surprenante. 

Un cyber conflit qui s’intensifie 

Dans une attaque récente, ce sont les boîtes de messagerie professionnelles de militaires ukrainiens qui ont été compromises et utilisées pour s’infiltrer dans les données de fonctionnaires européens, en charge de la logistique pour l’aide humanitaire et le rapatriement des réfugiés fuyant l’Ukraine.  

Une menace similaire, identifiée comme provenant de Chine, a visé des entités diplomatiques européennes en utilisant des adresses électroniques usurpées de l’ONU. Cette fois, le groupe a utilisé des bogues Web pour établir le profil des victimes avant d’envoyer divers logiciels malveillants via de fausses URL.  

Ces deux exemples sont révélateurs de la guerre hybride qui se joue en ce moment. Et comme dans une guerre traditionnelle, il faut s’attendre à des dommages collatéraux.  

Si les campagnes d’infiltration évoquées étaient plutôt ciblées, il en existe de beaucoup plus larges. Nos chercheurs suivent de près l’activité de cybercriminels affiliés au gouvernement russe, en particulier les groupes APT que nous suivons sous le nom de TA422, et qui sont plus connus publiquement sous le nom d’APT28. 

Il y a ensuite un autre type d’attaque à envisager : l’œuvre d’un cybercriminel opportuniste qui cherche à profiter d’une période de forte pression, de désinformation et de perturbation. Cette menace est beaucoup plus répandue et moins connue, elle touche des victimes dans différents pays et différents secteurs d’activité, et place toutes les victimes dans la ligne de mire.   

L’opportunisme est le nerf de la cyberguerre 

Les cybercriminels ne sont pas difficiles lorsqu’il s’agit de faire coïncider leurs attaques avec un événement majeur afin d’améliorer leurs chances de succès. Alors que la pandémie était à peine amorcée en 2020, des centaines de mensonges liés au COVID ont été détectés, proposant des remèdes, des vaccins et des conseils médicaux. Les messages malveillants n’offraient rien de tout cela, leur objectif est de récupérer les données, s’emparer des systèmes et exiger des rançons.   

Le constat est le même avec cette guerre en plein cœur de l’Europe. Certains cybercriminels ont même lancé des campagnes de phishing et d’escroquerie aux dons en cryptomonnaies en se faisant passer pour des entreprises, notamment le gouvernement ukrainien, l’UNICEF et la Croix-Rouge.   

La fraude aux avances de frais est une autre tactique courante dans des périodes comme celle-ci. Dans ce cas, les escrocs peuvent prétendre être un citoyen russe ou ukrainien sanctionné qui a du mal à accéder à des fonds importants. Ils demandent à la victime d’avancer les frais pour débloquer des fonds. Une fois les fonds débloqués, une partie du produit de la vente est promise à la victime pour la remercier de son aide. Cette contrepartie n’arrive jamais au destinataire. 

Les cybercriminels utilisent également des leurres liés aux cryptomonnaies pour inciter les gens à envoyer leurs dons à l’acteur de la menace, plutôt qu’à l’armée ukrainienne. Ces attaques jouent sur les émotions de la victime. Fatigués par les nombreuses informations alarmantes et l’inquiétude qui plane que la guerre puisse se propager à toute l’Europe, voire au monde, beaucoup cherchent des moyens de se mobiliser et de venir en aide aux victimes. Malheureusement, les cybercriminels ont l’art de manipuler ces sentiments pour leurs gains mal acquis. Et ils n’hésitent pas à tirer parti des pires crises et conflits pour obtenir ce qu’ils veulent.   

Construire une défense pour chaque jour  

Lors de la dernière grande vague de fraude liée au Covid, de nombreuses entreprises ont mis en place des modules de formation à la sécurité, conçus pour aider les utilisateurs à repérer les leurres courants qui circulaient à l’époque. Ils se sont avérés être un succès et 80 % des entreprises interrogées ont déclaré que le renforcement de la formation avait réduit la vulnérabilité au phishing.   

Cependant, les cybercriminels ne font pas de distinction. S’ils peuvent redoubler d’efforts en période de perturbation, ils s’attaquent aux collaborateurs tout au long de l’année. Pour les tenir à distance, il faut donc mettre en place une défense complète et multicouche à tout moment, et pas seulement lorsque le risque est élevé.   

D’un point de vue technique, en ce moment, et tout au long du conflit, les entreprises doivent prêter une attention particulière aux acteurs de la menace qui pourraient se trouver dans leurs données, et prendre des mesures de sécurité supplémentaires, plus agressives et de façon plus proactive.  

Les organisations doivent accorder une attention encore plus grande à la consultation de leurs données et surveiller plus rigoureusement le trafic sur leur réseau. Une gestion plus stricte de l’accès aux données lorsqu’il s’agit de tiers est également capitale.  

Enfin, il est crucial de se rappeler que, malgré la source, le courrier électronique reste le moyen numéro un de diligenter une cyberattaque. Toute défense efficace doit commencer par des outils et des contrôles permettant de garder les messages malveillants hors des boîtes de réception.   

Nous continuons à surveiller l’activité des acteurs de la menace qui participent activement au conflit, cherchent à l’influencer ou tentent d’en tirer profit, et nous publions ces résultats en permanence.  Les entreprises doivent elles aussi continuer à suivre l’évolution du paysage de ces menaces.