De 0 à 100: l’escalade des acteurs de la menace 

Chronologie des acteurs dans le contexte de la guerre russo-ukrainienne

Cette chronologie débute à partir du moment où le CyberPeace Institute a commencé à enregistrer les différents acteurs menant des cyberattaques dans le contexte du conflit entre l’Ukraine et la Fédération de Russie. Les acteurs sont divisés en trois catégories en fonction de leur affiliation : pro-russes, pro-ukrainiens et affiliation ambiguë. Les acteurs sont également codés par couleur en fonction de leur type.  Il est important de noter que la plupart des attaques documentées sont auto-attribuées par les différents groupes d’acteurs. 

Type d’acteur :

🔴 État-nation, 🔵 Collectif, 🟣 Cybercriminel, 🟢 Individu, ⚫️ Inconnu

Depuis le début de l’invasion militaire à grande échelle de l’Ukraine, le 24 février 2022, le CyberPeace Institute a collecté et analysé les données relatives aux cyberattaques et aux opérations:

1. contre des infrastructures critiques essentielles à la survie de la population civile en Ukraine, en Fédération de Russie, et au sein de pays non belligérants.
2. sur les auteurs de ces attaques, principalement des acteurs pro-russes ou pro-ukrainiens.

Actuellement, le CyberPeace Institute surveille quotidiennement les activités de plus de 100 acteurs en relation avec ce conflit armé international, grâce à l’agrégation de renseignements provenant de sources ouvertes. Les données sur les acteurs et les attaques qu’ils ont menées sont accessibles sur notre plateforme Cyber Attacks in Times of Conflict Platform #Ukraine.

Premier jour des hostilités

24 février 2022

Dès le premier jour de l’invasion militaire de l’Ukraine en 2022, la guerre hybride a eu des répercussions dans le cyberespace. Le 24 février 2022, l’invasion militaire de l’Ukraine par la Fédération de Russie s’est accompagnée d’une cyberattaque menée par un acteur étatique russe, qui a perturbé l’accès à l’internet par satellite à haut débit. Cette attaque a mis hors service les modems qui communiquaient avec le réseau de satellites KA-SAT de Viasat Inc. et a empêché des dizaines de milliers de personnes en Ukraine et en Europe d’avoir accès à l’internet. [Pour plus d’informations, veuillez consulter notre étude de cas : l’attaque de Viasat]. 

D’autres acteurs ont rapidement annoncé leur soutien actif au conflit dans le cyberespace. Le groupe cybercriminel Conti a par exemple déclaré son soutien à la Russie, alors que les canaux de réseaux sociaux associés au collectif mondial d’hacktivistes Anonymous ont déclaré la « cyberguerre » à la Russie. En réaction à la déclaration d’Anonymous, KillNet, un groupe qui s’occupait auparavant de DDoS-as-a-Service, a annoncé qu’il soutenait pleinement les efforts de guerre de la Russie en Ukraine.

Liste des nouveaux acteurs

• Pro-russes: 🔴 DEV-0586, 🔴 Nation-State Russia, 🔴 Sandworm, 🔴 UNC1151, 🔴 Gamaredon, 🔵 KillNet
• Pro-ukrainiens: 🔵 Anonymous

Une semaine d’hostilités dans et hors du cyberespace

24 février – 4 mars 2022

Le 26 février 2022, deux jours après l’invasion de l’Ukraine par la Fédération de Russie, le vice-premier ministre ukrainien Mykhailo Fedorov a publié un « cyber-appel aux armes », établissant l’IT Army of Ukraine (l’armée informatique de l’Ukraine). Bien que cette « armée » nouvellement formée soit composée d’individus issus de la population civile, le CyberPeace Institute a constaté que ces derniers risquaient de perdre leur statut de civil s’ils menaient des attaques dans le cadre des hostilités. L’IT Army of Ukraine peut également être considérée comme un acteur national si elle reçoit des directives, des fonds et/ou une assistance technique du gouvernement ukrainien. L’IT Army of Ukraine a par ailleurs deux projets de crowdsourcing DDoS : disBalancer et Liberator. Le premier, développé par un groupe d’experts en cybersécurité en 2021, est un logiciel défensif. Le second, publié le 4 mars 2022, est un logiciel offensif.

Pendant ce temps, au cours de la première semaine d’hostilités, un nouveau collectif d’hacktivistes pro-russes est apparu. C’est ainsi que le 2 mars 2022, le canal Telegram de « People’s CyberArmy » est créé. Cet acteur a activement ciblé principalement des entités en Ukraine et a été associé par Mandiant, avec une certitude moyenne, à des acteurs de l’État russe. En outre, le CyberPeace Institute estime qu’il existe une possibilité réaliste que « People’s CyberArmy » soit affiliée à KillNet.

Liste des nouveaux acteurs

• Pro-Russes: 🔵 theMx0nday, 🟣 Conti, 🔵 Legion Cyber Spetsnaz
• Pro-Ukrainiens: 🔵 V0g3lSec, 🔵 Anonymous Liberland-Pwn-Bär Hack Team, 🔵 GhostSec, 🔵 NB65, 🔵 AgainstTheWest, 🔴 IT Army of Ukraine

100 jours d’hostilités dans le cyberespace

25 février – 25 juin 2022

En ce qui concerne l’activité des acteurs et les informations disponibles, les acteurs pro-ukrainiens ont été majoritairement plus actifs que leurs homologues pro-russes, les premiers ayant mené 102 cyberattaques contre des entités russes, contre 65 attaques pro-russes contre des entités ukrainiennes. Au cours de cette période, le collectif hacktiviste pro-russe le plus actif à ce jour, NoName057(16), a créé son premier canal sur les réseaux sociaux et publié son manifeste le 11 mars 2022. 

Liste des nouveaux acteurs

• Pro-russes: 🔴 APT28, 🔴 Dragonfly, 🔴 InvisiMole, 🔴 Scarab, ⚫️ UAC-0041, ⚫️ UAC-0088, ⚫️ UAC-0094, ⚫️ UAC-0098, 🔵 Vermin, 🔵 XakNet, 🟣 Wizard Spider, 🔴 Cold River, 🟣 Black Basta
• Pro-ukrainiens:  🔵 Anonymous DepaixPorteur, 🔵 Anonymous-Spid3r, ⚫️ CaucasNet, 🔵 StudentCyberArmy, 🟢 RIAEvangelist, 🔵 The Black Rabbit World, 🔴 GURMO
• Affiliation ambiguë: 🔴 TA416, 🔴 APT10

Des 100 jours d’hostilités à la mobilisation partielle russe

26 juin – 21 septembre 2022

Au cours de cette période, de plus en plus de collectifs d’hacktivistes ont commencé à opérer dans le cyberespace. En juillet, un canal de réseaux sociaux a été créé pour le groupe « Anonymous Russia ». Les membres d’Anonymous Russia seraient d’anciens membres de KillNet, qui ont décidé de quitter KillNet en raison de divergences internes. Spécialisé dans les attaques DDoS, le collectif a également mis sa plateforme DDoS-as-a-service à la disposition de ses membres. . 

Le CyberPeace Institute a documenté une augmentation des opérations menées par des acteurs pro-russes contre des entités en Ukraine et dans des pays non belligérants, et une diminution globale des activités menées par des acteurs pro-ukrainiens contre des entités russes, en particulier de celle du collectif Anonymous et des groupes qui lui sont liés. Ce n’est toutefois pas le cas de l’IT Army of Ukraine.

Durant cette période, les médias russes se sont davantage concentrés sur les acteurs pro-russes en réalisant plusieurs interviews avec les dirigeants de différents collectifs. Les membres de ces collectifs pro-russes ont été présentés comme des « défenseurs de la Russie » et des « patriotes ». Cela a probablement contribué à accroître la prise de conscience et la participation des autres groupes aux activités. NoName057(16) est rapidement devenu l’acteur pro-russe le plus actif, menant des attaques DDoS contre des cibles en Ukraine et dans des pays non belligérants.  En août, le groupe a publié son projet DDoScrowdsourcing, « DDoSIA Project ». Sur invitation uniquement, le groupe a distribué un logiciel qui transforme l’appareil d’un membre en un bot utilisé pour des attaques DDoS, avec une incitation financière pour les membres les plus actifs.

Liste des nouveaux acteurs

• Pro-russes: 🔵 Anonymous Russia, 🔵 ICC_H@ckTeam, 🔵 NoName057(16), 🔵 People’s CyberArmy, 🔵 RaHDiT, 🔴 Turla, ⚫️ UAC-0100, 🔵 Zarya, 🔴 APT37, 🔵 Adrastea, 🔵 Phoenix 
• Pro-ukrainiens: 🔵 2402team, 🔵 Cyber Palyanitsa, 🔵 Haydamaki, 🔵 Team OneFist
• Affiliation ambiguë: 🔴 TontoTeam, 🟣 Unnamed Criminal Organisation

Un an d’hostilités

De la mobilisation partielle en Russie jusqu’au premier anniversaire de l’invasion à grande échelle de 2022 

22 septembre 2022 – 24 février 2023

Une semaine après l’annonce de la mobilisation partielle, 14 collectifs d’hacktivistes pro-russes ont annoncé qu’ils s’unissaient sous la direction de KillNet, y compris les anciens membres présumés d’Anonymous Russia. Deux mois plus tard, pour la première fois depuis le début des hostilités en 2022, le CyberPeace Institute a détecté plusieurs attaques revendiquées par des acteurs pro-russes contre des entités russes, ainsi que des désaccords entre différents groupes d’hacktivistes pro-russes. Cependant, au cours de cette période, les acteurs pro-russes (principalement les collectifs d’hacktivistes) se sont focalisés sur des cibles en dehors d’Ukraine. 

Au début de l’année 2023, de nombreux nouveaux collectifs d’hacktivistes pro-russes sont apparus et ont commencé à mener des attaques DDoS, et dans une moindre mesure des opérations de défacement, contre des entités ukrainiennes et des entités dans des pays annonçant leur soutien à l’Ukraine. Dans l’ensemble, les activités des acteurs pro-russes ont fortement augmenté au cours du premier trimestre (janvier-mars 2023). Au cours de ce trimestre, le CyberPeace Institute a documenté 475 incidents contre des entités situées en dehors des deux pays belligérants, contre 461 incidents contre des entités situées dans les pays non belligérants pendant toute l’année 2022. Il est fort probable que cela soit dû à l’annonce d’un soutien croissant, y compris une assistance militaire, à l’Ukraine. 

En ce qui concerne les cyberattaques menées par des acteurs pro-ukrainiens, le CyberPeace Institute a constaté une diminution constante du nombre d’acteurs pro-ukrainiens actifs au cours de cette période. Nous avons ainsi pu trouver des informations sur moins de cinq acteurs pro-ukrainiens, les autres étant apparemment devenus inactifs ou ne répondant pas ou plus à nos critères d’inclusion (Méthodologie – revendications d’attaques substantielles ou non).

Liste des nouveaux acteurs

• Pro-russes:  🔵 AlTahrea, 🔵 Clowns, 🔵 FRwL, 🔵 Mirai, 🔵 National Hackers of Russia, 🔵 Netside Group, 🔵 Red Hackers Alliance, 🔵 Russian Clay, 🔵 Russian Hackers Team, ⚫️ UAC-0132, ⚫️ UAC-0133, ⚫️ UAC-0145, ⚫️ UNC4166, ⚫️ Winter Vivern, 🔴 APT29, 🔵 Anonymous Sudan, 🔵 AnonymousX777Z, 🔵 Bear IT Army, 🔵 Cyber Cat, 🔵 Furious Russian Hackers, 🔵 Genesis Day, 🟢 KillMilk, 🔵 KillNet Collective, 🔵 RADIS, 🔵 Infinity Hackers BY, ⚫️ UAC-0050, 🔵 Russian Hackers Community
• Pro-ukrainiens: 🔵 Anonymous Italia, 🔵 CH01, 🔵 Cyber Partisans, 🔵 KelvinSecurity, 🔵 National Republican Army, 🔵 NLB
• Affiliation ambiguë: ⚫️ Red Stinger 

Après le premier anniversaire de l’invasion à grande échelle de 2022

25 février 2023 – aujourd’hui

Depuis le premier anniversaire de l’invasion militaire de 2022, d’autres acteurs pro-russe sont apparus. Depuis le 1er juin 2023, le CyberPeace Institute a documenté 100 acteurs ayant mené des cyberattaques liées au conflit armé. 

 A l’exception de la Fédération de Russie, nous n’avons toutefois pas identifié de nouvelles tendances significatives relatives aux cyberattaques et aux opérations pour cette période. Les cyberattaques contre des entités en Ukraine et dans des pays non-belligérants sont comparables à celles du trimestre précédent, car elles se poursuivent de manière régulière. Les cyberattaques contre des entités en Fédération de Russie ont diminué récemment en raison d’acteurs moins actifs. Comme cela a été démontré au cours du premier trimestre 2023, il est fort probable que des pays non belligérants soient spécifiquement ciblés en raison de leur soutien et/ou de leur assistance à l’Ukraine.  

Liste des nouveaux acteurs

• Pro-russes:  🔵 ChaosSec, ⚫️ UAC-0165, ⚫️ Vestnik TSS, 🔵 Avoid Team, 🔵 Bloodnet, 🔵 Kvazar DDoS, 🔵 Cyber DDoS, 🔴 TA499, ⚫️ UAC-0006, ⚫️ UAC-0063, ⚫️ UAC–0099, ⚫️ UAC-0102
• Pro-ukrainiens: 🔵 Cyber Resistance

Pour en savoir plus : cyberconflicts.cyberpeaceinstitute.org/report

Pour les détails des attaques : cyberconflicts.cyberpeaceinstitute.org/threats/attack-details