Un an et demi après le lancement de l’invasion russe en Ukraine, de nouveaux éléments continuent d’apparaître sur les activités des unités cyber des renseignements russes au cours du conflit. Un rapport publié jeudi 9 novembre par la société Mandiant (qui appartient aujourd’hui à Google) révèle, notamment, qu’une cyberattaque a perturbé, en octobre 2022, une infrastructure électrique en Ukraine, dans un laps de temps très proche de frappes aériennes russes.
Cette cyberattaque a été attribuée par Mandiant à Sandworm, un acteur spécialisé dans l’espionnage et les opérations de cyberoffensives, et identifié comme l’unité 74455 du GRU, les services de renseignements militaires russes. Ce groupe est notamment l’un des acteurs à avoir attaqué le parti En Marche ! au moment de la campagne électorale de 2017 (« MacronLeaks »). Sandworm est déjà accusé d’être derrière deux attaques majeures menées en 2015 et 2016 contre des infrastructures du réseau électrique ukrainien.
Le nouveau rapport technique sur l’attaque d’octobre 2022 explique que les premières traces d’activité des pirates au sein du réseau ciblé remontent au mois de juin, sans que l’on sache exactement quand Sandworm est parvenu à y pénétrer. Les agents des renseignements russes ont ensuite consolidé leur présence puis ont accédé à une partie du réseau gérant les infrastructures techniques, pour pouvoir, le 10 octobre, exécuter des commandes destinées à perturber le réseau électrique. Le nombre de citoyens ukrainiens touchés à l’époque n’a pas été établi avec précision.
Un piratage qui coïncide avec des frappes
Deux jours plus tard, toujours selon Mandiant, Sandworm a déployé sur le réseau un « wiper », un logiciel malveillant conçu pour effacer des données. Cette deuxième attaque n’a néanmoins pas eu d’impact sur les installations physiques et pourrait avoir simplement été menée pour effacer les traces de l’activité des pirates.
Plus troublant : au moment où l’unité du GRU déclenchait une panne électrique, l’armée russe lançait une importante vague de frappes aériennes contre plusieurs grandes villes ukrainiennes, touchant notamment des infrastructures critiques et générant des pannes importantes dans plusieurs régions. Si les chercheurs expliquent qu’ils ne sont pas en mesure d’établir un lien ferme entre les deux événements, la ville dans laquelle se trouvait le réseau électrique visé par Sandworm, près de la frontière avec la Russie, se trouvait néanmoins parmi les localités touchées par ces frappes. Si elle était avérée, cette coordination marquerait une première dans l’histoire des cyberattaques visant à dégrader ou perturber des infrastructures physiques.
Il vous reste 20% de cet article à lire. La suite est réservée aux abonnés.
