Depuis le début de son invasion de l’Ukraine, la Russie est devenue une cible de choix pour les pirates informatiques. Agences gouvernementales, compagnies pétrolières et gazières ou encore institutions financières, des dizaines d’organisations russes sont victimes de piratages. En effet, depuis que Moscou a envahi l’Ukraine à la fin du mois de février, le pays a été confronté à un barrage sans précédent d’activités de piratage. C’est ainsi que des téraoctets de données volées ont été divulgués sur Internet depuis le début du conflit. De même, depuis le début de l’invasion, les pirates informatiques russes ont plusieurs fois essayé de perturber les systèmes électriques en Ukraine, de déployer des logiciels malveillants d’essuyage et de lancer des attaques de perturbation prévisibles contre le gouvernement ukrainien. Aujourd’hui, les responsables ukrainiens affirment avoir constaté une baisse d’activité. L’armée informatique ukrainienne Début mars, des responsables ukrainiens ont rassemblé des volontaires pour des projets de piratage, et le gouvernement ukrainien a publié des informations sur ses opposants sur des sites officiels. Un canal sur la plateforme de messagerie Telegram, qui répertorie les cibles à pirater par les volontaires, compte aujourd’hui plus de 288 000 membres. On parle ici de l'”IT Army”, l’armée informatique ukrainienne. Depuis le début de la guerre, ce groupe de volontaires a mis hors ligne des sites Web russes. Et ce, en lançant vague après vague des attaques par déni de service distribué (DDoS), qui inondent les sites Web de demandes de trafic et les rendent inaccessibles. Très vite, les hacktivistes, les forces ukrainiennes et les étrangers du monde entier qui participent à l’IT Army ont pris pour cible la Russie et ses entreprises. Ce groupe a également transformé le jeu de puzzle 2048 en un moyen simple de lancer des attaques DDoS. En clair, ils ont développé des outils permettant à quiconque de se joindre à l’action, et ce, quelles que soient ses connaissances techniques. Pour rappel, le principe du jeu est de déplacer les cases avec les touches directionnelles du clavier pour les additionner entre elles. À la fin du mois d’avril, l’IT Army a lancé son propre site Web. En bref, les pirates du gouvernement ukrainien sont supposés agir directement contre d’autres cibles russes, et les responsables ont distribué des données piratées comprenant les noms de troupes et de centaines d’agents du FSB. Une base de données volées De nombreuses données dérobées se trouvent sur la plateforme de Distributed Denial of Secrets (DDoSecrets). Il s’agit d’un collectif connu pour avoir publié 2020 270 gigaoctets de données sur les forces de l’ordre américaines au moment des manifestations pour la justice raciale qui ont suivi le meurtre de George Floyd. Dans le contexte de guerre entre l’Ukraine et la Russie, DDoSecrets est devenu le foyer des ensembles de données piratées en provenance de Russie. Une fois reçus, ces ensembles de données sont ensuite mis à la disposition du public sur le site Web du collectif et distribués par BitTorrent, explique The Intercept. En tout, DDoSecrets a publié une trentaine d’ensembles de données piratées provenant de Russie depuis le début de son invasion de l’Ukraine, fin février. Des sources anonymes La majorité des ensembles de données provient de pirates anonymes. D’ailleurs, beaucoup s’identifient comme faisant partie du mouvement hacktiviste Anonymous. À noter tout de même, qu’avec autant de jeux de données soumis par des hackers anonymes, il est impossible d’être certain de leurs motivations ou même de savoir s’ils proviennent réellement d’hacktivistes C’est ainsi que DDoSecrets a récemment ajouté un message à ses ensembles de données disponibles. “Cet ensemble de données a été publié pendant la préparation, au milieu ou à la suite d’une cyberguerre ou d’une guerre hybride. Par conséquent, il existe un risque accru de logiciels malveillants, d’arrière-pensées et de données modifiées ou implantées, ou de faux personnages, précise The Intercept. Il est donc conseiller aux journalistes et autres intéressés d’interpréter ces données avec des pincettes. Des révélations à la chaine Début mars, DDoSecrets a publié 817 gigaoctets de données piratées provenant de Roskomnadzor, l’agence fédérale russe chargée de surveiller, contrôler et censurer les médias de masse russes. Ces données provenaient spécifiquement de la branche régionale de l’agence dans la République du Bashkortostan. À la mi-mars, DDoSecrets a publié 79 gigaoctets de courriels provenant de la société Omega. Il s’agit de l’aile de recherche et de développement de la plus grande société d’oléoducs au monde, Transneft, contrôlée par l’État russe. Dans la seconde moitié du mois, les actions d'”hacktivisme” contre la Russie ont commencé à se multiplier. Société d’investissements, entreprise publique russe spécialisée dans l’énergie nucléaire, entreprise de construction, banque centrale de Moscou, fournisseur d’équipements pour les industries du forage, de l’exploitation minière et de la fracturation… Tous les secteurs sont devenus une cible potentielle. Dans ce contexte, le dicton “en avril, ne te découvre pas d’un fil”, prend tout son sens. EN effet, le mois dernier, la tendance s’est accélérée et les publications ont continué à fleurir sur le site Web de DDoSecrets. D’ailleurs, le 22 avril dernier, DDoSecrets a publié 342 gigaoctets d’e-mails provenant d’Enerpred. Autrement dit, du plus grand producteur d’outils hydrauliques en Russie. Il travaille notamment dans les secteurs de l’énergie, de la pétrochimie, du charbon, du gaz et de la construction. L’accès à ces données ne suffit pas à leur exploitation. En effet, a langue constitue un obstacle pour les organismes de presse non russes qui souhaitent utiliser ces données est la langue. Les données piratées adoptent généralement l’alphabet cyrillique. Des ransomwares nouvelle génération Début mars, un nouveau type de ransomware a vu le jour. Ce dernier est spécialement conçu pour s’attaquer aux organisations russes. Selon une analyse de la société de sécurité Trend Micro, la note de rançon du code indique : “Moi, le créateur de RU_Ransom, j’ai créé ce malware pour nuire à la Russie”. Le malware se propage à une vitesse folle et peut effacer les données des systèmes.