Les chercheurs en cybersécurité ont identifié une nouvelle vague d’attaques visant des organisations ukrainiennes qui semblent être liées au collectif de piratage soutenu par la Russie connu sous le nom de Sandworm. Selon les conclusions de Symantec et VMware Carbon Black, les attaquants ont infiltré à la fois un grand fournisseur de services aux entreprises et une agence gouvernementale locale, en maintenant l’accès pendant des jours, voire des mois, tout en collectant des données sensibles.
Les chercheurs ont révélé que la première attaque impliquait une société de services aux entreprises où les acteurs de la menace sont restés inaperçus pendant plus de deux mois. On pense qu’ils ont réussi à y pénétrer en exploitant les vulnérabilités des serveurs publics et en installant des shells Web pour établir un accès persistant. Une fois à l’intérieur, ils s’appuyaient fortement sur des outils d’administration intégrés, une méthode qui permet aux attaquants de se déplacer sur les réseaux sans laisser de traces évidentes de logiciels malveillants.
L’une des coquilles de toile découvertes, connue sous le nom de LocalOlive, a été associée à des opérations antérieures attribuées à Sandworm. Bien que les chercheurs n’aient pas encore confirmé l’implication directe du groupe, le chevauchement des tactiques et des outils suggère fortement un lien. Sandworm, également connu sous le nom d’APT44, est largement considéré comme l’une des cyberunités russes les plus dangereuses et a été lié à certaines des opérations les plus perturbatrices de l’histoire récente de l’Ukraine.
Lors du deuxième incident, les attaquants ont compromis une agence gouvernementale locale pendant environ une semaine. Bien que l’intrusion ait été plus courte, les techniques utilisées étaient presque identiques, ce qui suggère que le même acteur ou un groupe affilié était responsable. La campagne s’est concentrée sur l’exfiltration de fichiers et la collecte de données système qui pourraient soutenir des opérations ultérieures. Aucun signe de cryptage des données ou de logiciel malveillant destructeur n’a été trouvé, ce qui indique que l’espionnage plutôt que le sabotage était le motif principal.
Le moment et la précision de ces attaques sont remarquables, car elles surviennent dans un contexte de tensions géopolitiques persistantes et d’augmentation de l’activité cybernétique en Europe de l’Est. L’Ukraine reste l’un des pays les plus ciblés au monde, et nombre de ses institutions publiques et privées sont confrontées à des attaques numériques continues. Sandworm, qui opère sous l’égide de l’agence de renseignement militaire russe GRU, a été responsable de plusieurs attaques majeures dans le passé, notamment des perturbations du réseau électrique, des interférences satellitaires et des incidents d’effacement de données à grande échelle.
Contrairement à ces attaques précédentes, les campagnes récentes montrent une approche plus discrète et patiente. Au lieu de déployer des logiciels malveillants qui perturbent immédiatement les opérations, les attaquants ont utilisé des méthodes conçues pour rester invisibles pendant de longues périodes. Cette approche, connue sous le nom de vivre de la terre, consiste à utiliser des outils système légitimes pour mener des activités malveillantes. En se fondant dans le comportement normal de l’administration, les attaquants peuvent se déplacer dans les systèmes, élever les privilèges et exfiltrer des données sans déclencher d’alertes de sécurité standard.
Cette évolution de la stratégie met en évidence un changement dans les priorités opérationnelles de Sandworm. Alors que les campagnes précédentes cherchaient à causer des dommages immédiats et visibles, les opérations actuelles suggèrent de mettre l’accent sur la collecte de renseignements et l’accès à long terme. En rassemblant des informations d’identification et des documents internes, les attaquants peuvent se préparer à de futures opérations ou exploiter les informations à d’autres fins stratégiques.
Les experts en sécurité avertissent que les implications de ces conclusions vont au-delà des victimes immédiates. L’utilisation de techniques furtives et persistantes signifie que les organisations peuvent ne se rendre compte qu’elles ont été compromises que longtemps après le début de l’intrusion. Parce que les attaquants exploitent des outils déjà présents dans un système, les logiciels antivirus traditionnels ne parviennent souvent pas à les détecter. Pour cette raison, les analystes recommandent une surveillance constante de l’activité du réseau et des méthodes de détection basées sur le comportement qui peuvent identifier des modèles inhabituels.
Les autorités ukrainiennes de cybersécurité n’ont pas publié de déclaration officielle sur les incidents, mais le rapport souligne le risque persistant pour les institutions publiques et les entreprises privées opérant dans le pays. Le choix des cibles des attaquants, des prestataires de services aux entreprises et des bureaux du gouvernement local, suggère un intérêt plus large à obtenir l’accès à des systèmes administratifs qui pourraient ultérieurement soutenir des opérations coordonnées plus importantes.
La présence du shell web LocalOlive et la cohérence des tactiques utilisées dans les deux attaques ont conduit les chercheurs à croire que ces intrusions font partie d’une campagne continue plutôt que d’événements isolés. La longue histoire d’activité de Sandworm en Ukraine ajoute du poids à cette théorie. Le groupe a été lié aux attaques du réseau électrique de 2015 et 2016 qui ont laissé des centaines de milliers d’Ukrainiens sans électricité, ainsi qu’à l’épidémie NotPetya de 2017 qui a causé des milliards de dollars de dommages mondiaux.
La différence réside maintenant dans la discrétion avec laquelle les attaquants opèrent. En évitant les attaques très médiatisées qui attirent l’attention, ils augmentent leurs chances de conserver l’accès à des réseaux précieux. Cette approche furtive leur permet d’observer, de collecter et de se préparer à d’éventuelles opérations futures sans représailles ou exposition immédiates.
Les chercheurs pensent que ces campagnes peuvent avoir deux objectifs. Ils fournissent des renseignements qui peuvent éclairer la planification militaire et stratégique de la Russie, tout en créant une base pour d’éventuelles attaques perturbatrices si les conditions géopolitiques s’aggravent. Le mélange d’espionnage et de cyberguerre n’est pas nouveau, mais l’évolution des méthodes de Sandworm montre qu’il continue d’affiner ses capacités à chaque opération.
La défense contre ce type de menace nécessite non seulement des mesures techniques fortes, mais aussi une vigilance constante et une coopération entre les organisations. Les experts exhortent les institutions ukrainiennes et leurs partenaires à revoir les contrôles d’accès, à s’assurer que les logiciels sont à jour et à adopter des systèmes de détection proactifs capables de repérer les signes subtils d’activité non autorisée. La capacité à identifier les comportements anormaux du système, plutôt que les signatures de logiciels malveillants connues, est désormais l’une des défenses les plus importantes contre les menaces persistantes avancées.
Le rapport conclut que ces incidents représentent un nouveau chapitre dans le cyberconflit en cours autour de l’Ukraine. Ils nous rappellent également que la cyberguerre n’implique pas toujours des attaques ouvertes ou des perturbations dramatiques. Parfois, cela prend la forme d’une infiltration discrète et d’une collecte de données lente, conçue pour fournir un avantage stratégique à long terme plutôt qu’un impact immédiat.
La nature évolutive de l’activité de Sandworm démontre que le groupe reste actif, adaptatif et profondément ancré dans le contexte plus large des cyberopérations parrainées par l’État. Pour l’Ukraine et ses alliés, cela signifie que la défense contre de futures attaques nécessitera une amélioration continue des capacités de détection et une attention constante à la préparation à la cybersécurité.