Ukraine vs Russie : la guerre fait rage aussi dans le cyber
Au bout d'un an de guerre, les combats continuent en Ukraine. Les forces ukrainiennes, qui au début étaient sur la défensive, ont lancé une contre-offensive au cours de l'été 2022 et ont réussi à libérer plusieurs villes de l'occupation russe, comme Kherson. Mais un autre front a aussi été ouvert : celui d'une guerre cyber entre cyber-soldats russes et cyber-volontaires ukrainiens. Avant la guerre, certains étaient pourtant alliés dans le cybercrime... Des groupes binationaux comme Killnet, et certaines marketplaces du darknet étaient sous la direction d'équipes issues des deux pays.
Cette coopération s'effondre au début de la guerre. Les marketplace comme Solaris subissent des trahisons internes, un hacker ukrainien étant allé par exemple jusqu'à détourner les fonds de la plateforme pour que son chiffre d'affaire soit versé à des associations pro-ukrainiennes. Des groupes entiers de hackers se séparent après le 24 février, comme Killnet, dont le chef Killmini décide de travailler pour le gouvernement russe. Par conséquent, seuls les Russes restent dans le groupe. Les hackers doivent choisir leur camp et rejoindre l'une ou l'autre des cyber armées.
Volontaires contre professionnels
Les forces en présence sont importantes mais très inégales du point de vue de la formation technique et militaire. Côté ukrainien, les forces sont regroupées au sein de deux entités. D'abord la It Army of Ukraine, armée de volontaires fonctionnant sur le même principe que la Légion ukrainienne (qui regroupe les volontaires de toutes nations) et forte de 100 000 hommes. Elle agit par cellules, chacune choisissant une cible, comme par exemple des sites gouvernementaux russes. La cellule attaquante déclenche un signal d'alarme pour demander un appui de la part des autres volontaires. L'assaut a lieu, le but étant de saturer les cyber-défenseurs russes pour ainsi mener à bien la cyberattaque. Les effectifs de cette armée sont très disparates : cybercriminels repentis, travailleurs volontaires de l'IT et hacktivistes.
L'autre armée ukrainienne de hackers est sous le contrôle du SBU, le service de sureté de l'Etat. Ses cyber défenseurs sont des professionnels, sous statut militaire, et possèdent une solide expérience dans la traque des cybercriminels. Avant le déclenchement de l'invasion, ils ont reçu une formation en cybersécurité menée par des services de la défense américaine. Leurs missions sont la défense des systèmes d'information ukrainiens et la traque des collaborateurs pro-russes via des recherches de renseignement sur les réseaux sociaux. Le chef de l'unité cyber du SBU, Ilya Vityuk, annonçait à nos confrères du Odessa Journal : "Dans cette guerre, nous repoussons les envahisseurs russes et menons des contre-attaques. Un de nos principaux objectifs : obtenir du renseignement pour nos forces armées. Mais parfois nous leur donnons "des coups de pied dans les dents", nous répondons symétriquement et même beaucoup plus puissamment à leur cyber-agression".
Du côté russe, les forces se divisent en quatre groupes. Tout d'abord les cyber soldats, sous statut militaire, qui se répartissent entre les trois officines du renseignement russe. Pour commencer le GRU (renseignement militaire) qui possède lui-même trois unités dédiées à la cyber guerre : l'unité 26165, qui vise à déstabiliser les acteurs politiques et le secteur privé occidentaux jugés antirusses, l'unité 74455, qui lance des cyberattaques dans le but d'obtenir du renseignement et des fonds supplémentaires pour la caisse noire du GRU (c'est elle qui est responsable de campagne NotPetya), et enfin l'unité 54777, aussi connue sous le nom de 72e centre spécial, dont la mission est de lancer de vastes campagnes de désinformation sur le web.
Deuxième groupe, le SVR (renseignement extérieur), qui a sous son contrôle l'APT 29, ou Cozy Bear, responsable de la cyberattaque Solarwinds. Sa mission est la collecte de renseignement via des cyberattaques. Le 16e centre et le 18e centre du FSB (renseignement intérieur) forment le troisième groupe et ont pour mission la formation et le piratage des entreprises occidentales du secteur de l'énergie pour accomplir des actions de sabotage.
Les cybercriminels russes qui ont décidé d'appuyer l'armée russe forment le dernier groupe. Ces derniers opèrent seuls et sans ordre, leurs opérations sont menées via leurs fonds propres, et ils ciblent surtout le secteur privé occidental et les instances militaires comme l'OTAN. Killnet a ainsi mené une cyberattaque contre l'Alliance dans le but de la paralyser. Mais les attaques de ces groupes nécessitent un investissement financier important et quand l'argent vient à manquer, l'opération est stoppée. Par exemple, Killnet a arrêté sa campagne de cyberattaques contre le Japon car les caisses du groupe de hackers étaient vides.
Quels sont les effets de cette cyberguerre ?
L'Ukraine étant le premier conflit de haute intensité au sein duquel de vastes armées cyber mènent le combat, on est en droit de se demander quelles sont leurs réalisations concrètes sur le champ de bataille. L'IT Army of Ukraine cherche à débusquer les positions ennemies via un travail de renseignement et tous les coups sont permis. Par exemple, un de ces groupes a créé de faux profils de jeunes filles pour ferrer des soldats russes sur des applications de rencontres, et ce fut un succès. Plusieurs soldats russes commencèrent à converser avec les faux profils, et très vite les hackers ukrainiens leur demandèrent dans quel régiment ils servaient, quelle unité, le nom de leurs supérieurs et surtout l'adresse de leur camp de base. Une fois un maximum d'information collectées, les renseignements furent transférés à l'armée qui ordonna une frappe sur les coordonnées récoltées avec les redoutables HIMARS.
C'est ainsi que dans la nuit du 10 au 11 décembre 2022, la base russe de la ville de Melitopol, en territoire occupé, subit un bombardement qui tua 200 soldats et en blessa 300 autres. Une autre opération des cyber-défenseurs ukrainiens du SBU a ciblé un groupe de cybercriminels pro-russes qui avait pour mission de vider les comptes en banque des civils ukrainiens morts à Marioupol et de rapatrier cet argent en Russie pour nourrir l'effort de guerre. Ils furent découverts et leur réseau démantelé grâce à un assaut sur leur QG, comme on peut le voir dans cette vidéo. De leur coté, les unités cyber russes semblent se concentrer sur un objectif : fragiliser les opinions publiques occidentales dans leur appui à l'Ukraine. Pour cela, ils mènent une vaste campagne de désinformation et de cyberattaques ,tout en continuant à essayer de pénétrer les systèmes informatiques de l'armée ukrainienne.