Selon une étude de la start-up Anozr Way, si de nombreux hackers prêtent déjà allégeance à un camp ou à un autre, leur stratégie prend surtout la forme d’opérations de désinformation ou d'infox. Révélations.
À pratiquement un mois du début de la guerre entre l’Ukraine et la Russie, les conflits ne s’arrêtent pas aux maniements d’armes. En souterrain, nombreux sont ceux qui redoutent l’apparition d’une cyberguerre. Pour Anozr Way, une start-up française spécialisée dans l’analyse des données exposées sur le web et le dark web, il s’agit en réalité d’une guerre d’information ou d’infox. Dans une étude inédite sur le cyberconflit actuel, l’entreprise dévoile les types d’attaque utilisés et le positionnement de la communauté des hackers qui ont été sommés de choisir leur camp.
Pour Anozr Way, le groupe de hackers pro-russe Stormous participe activement à la désinformation dans le conflit Ukraine-Russie. © Cybershafarat
Une guerre d’infox
« Pour le moment, on assiste surtout à un affrontement numérique de cyber-hacktivistes des deux camps, dont le réel cheval de bataille est la désinformation. Ces hackers réutilisent à de nombreuses reprises d’anciennes données fuitées afin de faire croire à de nouvelles attaques. Ces cas appellent à être vigilant face aux communications des hackers qui nécessitent une vérification approfondie, pour identifier les trucages et accusations infondées », constate Alban Ondrejeck, co-fondateur d’Anozr Way.
Les entreprises occidentales en cible
Ainsi l’étude révèle-t-elle que certaines entreprises, notamment françaises, se retrouvent malgré elles impliquées dans le cyberconflit Ukraine-Russie. En toile de fond, elles sont victimes d’une vaste opération d’infox menée par des hackers pro-russes pour valider la propagande russe. Le but étant de compromettre des entreprises occidentales pour montrer leur implication contre la sécurité de la Russie.
De fausses accusations
Pour en témoigner, la start-up a choisi l’exemple d’une employée d’une entreprise française faussement accusée de travailler pour la défense ukrainienne. Ses données personnelles et celles de son entreprise ayant été publiées sur le dark web par le groupe de hackers pro-russe Stormous.
Des moteurs d’avions militaires pour l’Ukraine
Dans le détail, ce groupe de ransomware a revendiqué le 27 février l’attaque de l’entreprise aéronautique ukrainienne Ivchenko-Progress. Pour justifier cette attaque, les hackers pro-russes ont allégué que cet industriel employait cette fameuse entreprise française pour concevoir des moteurs d’avions militaires pour l’Ukraine. En représailles, les cyberpirates ont donc diffusé sur leur fil Telegram les données personnelles de ces employés français.
Publication de Stormous sur Telegram où l’on peut apercevoir des fichiers français. A gauche la soi-disant nouvelle attaque effectuée par Stormous Ransomware, à droite le fichier original de 2021 suite au Ransomware Grief. © Anozr Way
Des données manipulées au montage
En réalité, Anozr Way révèle que cette dénonciation était une infox. Les données publiées appartenaient à des employés issus d’un concessionnaire automobile francilien attaqué en 2021 par un autre groupe de ransomware, il s’agit des hackers Grief. Aucun rapport, donc, avec l’actualité. Quoi qu’il en soit, Stormous a récupéré les données de cette fuite ancienne pour réaliser un montage en les combinant avec des photos de moteurs d’avions Antonov récupérées sur Internet.
Telegram comme principal canal de communication
À plus grande échelle, l’étude s’interroge également sur le positionnement des groupes de hackers les plus importants dans le conflit. Ces derniers se retrouvent face à un dilemme d’allégeance soit pour le camp ukrainien soit pour le camp russe. Ainsi la start-up dégage-t-elle plusieurs tendances en ce qui concerne les cyber-hacktivistes : quel que soit leur bord, ils entretiennent l’idée qu’une guerre cyber d’ampleur est en cours avec la réalisation d’attaques falsifiées. Ensuite, ils revendiquent généralement ces attaques sur leur fil Twitter ou Telegram, principaux canaux de communication. Dans ce cadre, de nombreux hackers jusqu’alors solitaires ont déjà choisi leur camp ou se sont ralliés sous la bannière des Anonymous.
Démoraliser l’adversaire
« Plutôt que la qualité des attaques, c’est leur nombre qui est mis en avant. Les cyber-hacktivistes publient de longues listes de victimes pour créer artificiellement des écrans de fumée. En temps de guerre, ces opérations psychologiques permettent de démoraliser l’adversaire et de nourrir l’enthousiasme des alliés. Si la guerre cyber est encore loin d’être effective et reste pour le moment une guerre de l’information, certains signaux faibles doivent cependant être attentivement surveillés. Il faut rester vigilant et anticiper une potentielle deuxième phase du cyberconflit plus dévastatrice, contre les États déclarés comme hostiles à la Russie » souligne Alban Ondrejeck.
Le choix de la neutralité
Au milieu, certains groupes choisissent de ne pas prendre position, revendiquant leur indépendance et leurs velléités purement financières. À l’instar du groupe Lockbit 2.0 qui a affiché sa neutralité ou encore du groupe Conti qui s’est même rétracté à la suite de son annonce de soutien au gouvernement russe. Il faut dire que depuis cette prise de position, des conflits internes entre les différents membres avaient provoqué des représailles, engendrant le dévoilement d’informations critiques. Ayant appris de ses erreurs, le groupe affiche désormais une attitude neutre.
Ségolène Kahn
Commentez