Une cyberattaque en Ukraine vise les sites Web du gouvernement
KYIV, UKRAINE – Vendredi, des pirates informatiques ont temporairement fermé des dizaines de sites Web du gouvernement ukrainien, ne causant aucun dommage majeur mais ajoutant aux tensions latentes pendant que la Russie amasse des troupes à la frontière ukrainienne. Par ailleurs, dans un geste rare envers les États-Unis à une époque de relations frileuses, la Russie a déclaré avoir arrêté des membres d’un important gang de rançongiciels qui ciblait des entités américaines.
Les événements, bien qu’apparemment sans rapport, sont survenus au cours d’une période d’activité frénétique alors que les États-Unis accusaient publiquement Moscou de préparer une nouvelle invasion de l’Ukraine et de créer un prétexte pour le faire. Ils ont souligné à quel point la cybersécurité reste une préoccupation essentielle – que l’escalade de l’animosité risque non seulement la violence réelle, mais également des attaques numériques dommageables qui pourraient affecter l’Ukraine ou même les États-Unis.
La Maison Blanche a déclaré vendredi que le président Joe Biden avait été informé des perturbations, qui visaient environ 70 sites Web d’organismes gouvernementaux nationaux et régionaux, mais elle n’a pas indiqué qui pourrait être responsable.
Mais même sans aucune attribution de responsabilité, des soupçons ont été jetés sur la Russie, avec son histoire de parsemer l’Ukraine de cyberattaques dommageables. Le service de sécurité ukrainien, le SBU, a déclaré que les résultats préliminaires d’une enquête indiquaient l’implication de « groupes de pirates informatiques liés aux services de renseignement russes ». Il a déclaré que la plupart des sites Web avaient repris leurs activités, que le contenu n’avait pas été modifié et que les données personnelles n’avaient pas été divulguées. Le SBU a déclaré que les coupables « ont piraté l’infrastructure d’une société commerciale qui avait accès, avec des privilèges d’administrateur, aux sites Web touchés par l’attaque ».
La Maison Blanche a déclaré qu’elle évaluait toujours l’impact des dégradations, mais l’a décrit comme « limité » jusqu’à présent. Un haut responsable de l’administration, quant à lui, a déclaré que la Maison Blanche se félicitait des nouvelles de l’arrestation en Russie de membres présumés de gangs de rançongiciels, une opération qui, selon Moscou, a été effectuée à la demande des autorités américaines.
Le responsable, qui a informé les journalistes sous couvert d’anonymat, a déclaré que l’une des personnes arrêtées était liée au piratage de Colonial Pipeline qui a entraîné des jours de pénurie de gaz dans certaines parties des États-Unis l’année dernière. Les arrestations sont considérées par la Maison Blanche comme sans rapport avec la tension russo-ukrainienne, selon le responsable.
Les cyberopérations passées de la Russie contre l’Ukraine comprennent un piratage de son système de vote avant les élections nationales de 2014 et de son réseau électrique en 2015 et 2016. En 2017, la Russie a déclenché l’une des cyberattaques les plus dommageables jamais enregistrées avec le virus NotPetya, qui ciblait les entreprises ukrainiennes et causé plus de 10 milliards de dollars de dégâts dans le monde. Moscou a précédemment nié toute implication dans des cyberattaques contre l’Ukraine.
Depuis lors, les professionnels ukrainiens de la cybersécurité, aidés par les États-Unis, renforcent les défenses des infrastructures critiques. Le secrétaire général de l’OTAN, Jens Stoltenberg, a déclaré vendredi que l’alliance continuerait à fournir « un soutien politique et pratique fort » à l’Ukraine à la lumière des cyberattaques.
Les experts disent que le président russe Vladimir Poutine pourrait utiliser des cyberattaques pour déstabiliser l’Ukraine et d’autres pays ex-soviétiques qui souhaitent rejoindre l’OTAN sans avoir à engager des troupes. Les tensions entre l’Ukraine et la Russie sont élevées, Moscou rassemblant environ 100 000 soldats près de sa vaste frontière avec l’Ukraine.
« Si vous essayez de l’utiliser comme une scène et un moyen de dissuasion pour empêcher les gens d’aller de l’avant avec la considération de l’OTAN ou d’autres choses, le cyber est parfait », a déclaré Tim Conway, instructeur en cybersécurité à l’Institut SANS, à l’AP la semaine dernière.
La principale question concernant les dégradations de sites Web est de savoir s’ils sont le travail de pigistes russes ou s’ils font partie d’une opération plus large soutenue par l’État, a déclaré Oleh Derevianko, un expert du secteur privé et fondateur de la société de cybersécurité ISSP.
Un message publié par les pirates en russe, en ukrainien et en polonais affirmait que les données personnelles des Ukrainiens avaient été mises en ligne et détruites. Il disait aux Ukrainiens « d’avoir peur et de s’attendre au pire ». En réponse, le gouvernement polonais a noté que la Russie avait une longue histoire de campagnes de désinformation et que le polonais dans le message était truffé d’erreurs et n’émanait manifestement pas d’un locuteur natif.
Des chercheurs du groupe de réflexion sur les risques mondiaux Eurasia Group ont déclaré que les dégradations de l’Ukraine « n’indiquent pas nécessairement une escalade imminente des hostilités par la Russie » – elles se classent au bas de son échelle d’options cyber. Ils ont déclaré que l’attaque de vendredi équivalait à « un trolling, envoyant un message selon lequel l’Ukraine pourrait voir pire à venir ».
Les dégradations ont suivi une année au cours de laquelle la cybersécurité est devenue une préoccupation majeure en raison d’une campagne de cyberespionnage du gouvernement russe ciblant les agences gouvernementales américaines et d’attaques de rançongiciels lancées par des gangs criminels basés en Russie.
Vendredi, le Service fédéral de sécurité russe, ou FSB, a annoncé la détention de membres du gang de rançongiciels REvil. Le groupe était à l’origine de l’attaque de la chaîne d’approvisionnement du week-end du 4 juillet dernier visant la société de logiciels Kaseya, qui a paralysé plus de 1 000 entreprises et organisations publiques dans le monde.
Le FSB a affirmé avoir démantelé le gang, mais REvil s’est effectivement dissous en juillet. Les experts en cybersécurité affirment que ses membres se sont largement déplacés vers d’autres syndicats de rançongiciels. Ils ont mis en doute vendredi que les arrestations affecteraient de manière significative les gangs de rançongiciels, dont les activités ne se sont que modérément atténuées après des attaques très médiatisées contre des infrastructures américaines critiques l’année dernière, y compris le Colonial Pipeline.
Le FSB a déclaré avoir perquisitionné les domiciles de 14 membres du groupe et saisi plus de 426 millions de roubles (5,6 millions de dollars), y compris en crypto-monnaie, ainsi que des ordinateurs, des portefeuilles crypto et 20 voitures d’élite « achetées avec de l’argent obtenu par des moyens criminels ». Toutes les personnes détenues ont été inculpées de « circulation illégale de moyens de paiement », une infraction pénale passible de six ans de prison. Les suspects n’ont pas été nommés.
Selon le FSB, l’opération a été menée à la demande des autorités américaines, qui avaient identifié le chef du groupe. Il s’agit de la première action publique importante des autorités russes depuis que Biden a averti Poutine l’été dernier qu’il devait sévir contre les gangs de rançongiciels.
Les experts ont déclaré qu’il était trop tôt pour savoir si les arrestations signalaient une répression majeure du Kremlin contre les criminels rançongiciels – ou s’il s’agissait peut-être simplement d’un effort fragmentaire pour apaiser la Maison Blanche.
« Le suivi de la condamnation enverra le signal le plus fort d’une manière ou d’une autre quant à S’il y a vraiment eu un changement dans la tolérance de la Russie à l’avenir envers les cybercriminels », Bill Siegel, PDG de la société de réponse aux ransomwares Coveware, dit dans un courriel.
Yelisey Boguslavskiy, directeur de recherche chez Advanced Intelligence, a déclaré que les personnes arrêtées sont probablement des affiliés de bas niveau – et non les personnes qui exploitaient le ransomware-as-a-service, qui s’est dissous en juillet. REvil a également apparemment arnaqué certains affiliés afin d’avoir des ennemis dans la clandestinité, a-t-il déclaré.
Les attaques de REvil ont paralysé des dizaines de milliers d’ordinateurs dans le monde et rapporté au moins 200 millions de dollars en paiements de rançon, a déclaré le procureur général Merrick Garland en novembre en annonçant des accusations contre deux pirates affiliés au gang.
De telles attaques ont attiré l’attention des responsables de l’application des lois du monde entier. Quelques heures avant que les États-Unis n’annoncent leurs arrestations, les responsables de l’application des lois européennes ont révélé les résultats d’une opération de plusieurs mois dans 17 pays qui a abouti à l’arrestation de sept pirates liés à REvil et à une autre famille de rançongiciels.
L’AP a rapporté l’année dernière que des responsables américains avaient entre-temps partagé un petit nombre de noms d’opérateurs de rançongiciels présumés avec des responsables russes.
Brett Callow, analyste des rançongiciels au sein de la société de cybersécurité Emsisoft, a déclaré que, quelles que soient les motivations de la Russie, les arrestations «enverraient certainement des ondes de choc dans la communauté cybercriminelle. Les anciens affiliés et associés commerciaux du gang seront invariablement préoccupés par les implications.
——
Bajak a rapporté de Boston, Litvinova a rapporté de Moscou et Tucker a rapporté de Washington. Catherine Gaschka à Brest, France, et Alan Suderman à Richmond, Virginie, ont contribué à ce rapport.