SECTEUR 2022 — Toronto — Les premiers coups de feu de la cyberguerre russo-ukrainienne ont été tirés virtuellement le 23 février, lorsque des attaques destructrices ont été lancées contre des organisations la veille de l'arrivée des troupes militaires russes en Ukraine. Microsoft était au sens figuré « là », observant les développements – et ses chercheurs ont été immédiatement concernés.
Il se trouve que le géant de la technologie avait des capteurs prépositionnés dans divers réseaux publics et privés du pays, installés en collaboration avec des équipes ukrainiennes de récupération d'incidents à la suite de cyberattaques précédentes. Ils fonctionnaient toujours et ont enregistré une large gamme d'activités inquiétantes et boule de neige alors que l'armée russe se massait à la frontière.
«Nous avons vu des attaques contre au moins 200 systèmes gouvernementaux différents commencer à se dérouler dans différentes zones que nous avons détectées en Ukraine», a déclaré John Hewie, agent de sécurité nationale chez Microsoft Canada, prenant la parole à SecTor 2022 cette semaine à Toronto, dans une session intitulée "Défendre l'Ukraine : premières leçons de la cyberguerre. »
Il a ajouté : « Nous avions également déjà établi une ligne de communication avec de hauts responsables ukrainiens au sein du gouvernement et également avec des organisations en Ukraine – et nous avons pu partager des informations sur les menaces dans les deux sens.
Ce qui est ressorti de toutes ces informations, c'est que la vague de cyberattaques ciblait les agences gouvernementales, avant de passer au secteur financier, puis au secteur informatique, avant de se concentrer spécifiquement sur les centres de données et les sociétés informatiques qui soutiennent les agences gouvernementales du pays. Mais ce n'était que le début.
Cyber-Guerre : Menace de dommages physiques
Au fur et à mesure que la guerre avançait, la cyber-image s'est aggravée, car les infrastructures et les systèmes critiques utilisés pour soutenir l'effort de guerre fini dans le collimateur.
Peu de temps après le début de l'invasion physique, Microsoft a découvert qu'il était également capable de corréler les cyberattaques dans le secteur des infrastructures critiques avec des événements cinétiques. Par exemple, alors que la campagne russe se déplaçait dans la région du Donbass en mars, les chercheurs ont observé des attaques d'essuie-glace coordonnées contre les systèmes logistiques de transport utilisés pour les mouvements militaires et l'acheminement de l'aide humanitaire.
Et cibler les installations nucléaires en Ukraine avec une cyberactivité pour adoucir une cible avant les incursions militaires est quelque chose que les chercheurs de Microsoft ont constamment observé tout au long de la guerre.
"Il y avait cette attente que nous allions avoir un grand événement de type NotPetya qui allait se répandre dans le reste du monde, mais cela ne s'est pas produit", a noté Hewie. Au lieu de cela, les attaques ont été très personnalisées et ciblées sur les organisations d'une manière qui a limité leur portée et leur échelle - par exemple, en utilisant des comptes privilégiés et en utilisant la stratégie de groupe pour déployer le malware.
"Nous apprenons encore et nous essayons de partager des informations sur la portée et l'ampleur des opérations qui y ont été impliquées et sur la manière dont elles tirent parti du numérique de manière significative et troublante", a-t-il déclaré.
Une corne d'abondance d'APT dangereux sur le terrain
Microsoft a constamment rapporté ce qu'il a vu dans le conflit russo-ukrainien, en grande partie parce que ses chercheurs ont estimé que "les attaques qui s'y déroulaient étaient largement sous-déclarées", a déclaré Hewie.
Il a ajouté que plusieurs des joueurs ciblant l'Ukraine sont des menaces persistantes avancées (APT) parrainées par la Russie qui se sont avérées extrêmement dangereuses, tant du point de vue de l'espionnage qu'en termes de perturbation physique des actifs, qu'il appelle un ensemble de capacités "effrayantes".
« Le strontium, par exemple, était responsable de les attaques du DNC en 2016 ; nous les connaissons bien en termes d'hameçonnage, de piratage de compte — et nous l'avons fait activités de perturbation à leur infrastructure », a-t-il expliqué. "Ensuite, il y a Iridium, alias Sandworm, qui est l'entité attribuée à certaines des premières attaques [Black Energy] contre le réseau électrique en Ukraine, et ils sont également responsables de NotPetya. C'est un acteur très sophistiqué qui se spécialise en fait dans le ciblage des systèmes de contrôle industriels.
Entre autres, il a également interpellé Nobelium, l'APT responsable de la Attaque de la chaîne d'approvisionnement par SolarWinds. "Ils se sont livrés à pas mal d'espionnage non seulement contre l'Ukraine, mais contre les démocraties occidentales soutenant l'Ukraine tout au long de cette année", a déclaré Hewie.
Enseignements politiques du cyberconflit russo-ukrainien
Les chercheurs n'ont pas d'hypothèse sur la raison pour laquelle les attaques sont restées si limitées, mais Hewie a noté que les ramifications politiques de la situation devraient être considérées comme très, très larges. Plus important encore, il est clair qu'il est impératif d'établir des normes pour le cyber-engagement à l'avenir.
Cela devrait prendre forme dans trois domaines distincts, à commencer par une "Convention de Genève numérique", a-t-il déclaré : "Le monde se développe autour de normes pour les armes chimiques et les mines terrestres, et nous devrions appliquer cela au comportement approprié dans le cyberespace des acteurs des États-nations". .”
Le deuxième élément de cet effort consiste à harmoniser les lois sur la cybercriminalité - ou à préconiser que les pays élaborent des lois sur la cybercriminalité en premier lieu. "De cette façon, il y a moins de ports sûrs pour que ces organisations criminelles opèrent en toute impunité", explique-t-il.
Troisièmement, et plus largement, la défense de la démocratie et du processus de vote pour les pays démocratiques a des ramifications importantes pour le cyber, car elle permet aux défenseurs d'avoir accès aux outils, ressources et informations appropriés pour perturber les menaces.
"Vous avez vu Microsoft mener des cyber-opérations actives, avec le soutien de litiges civils créatifs, avec un partenariat avec les forces de l'ordre et de nombreux acteurs de la communauté de la sécurité - des choses comme Trickbot or Emotet et d'autres types d'activités de perturbation », selon Hewie, toutes rendues possibles parce que les gouvernements démocratiques ne gardent pas l'information secrète. "C'est l'image plus large."
Un autre plat à emporter est du côté de la défense; la migration vers le cloud devrait commencer à être considérée comme un élément essentiel de la défense des infrastructures critiques pendant la guerre cinétique. Hewie a souligné que la défense ukrainienne est compliquée par le fait que la plupart des infrastructures y sont gérées sur site, et non dans le cloud.
"Et bien qu'ils soient probablement l'un des meilleurs pays en termes de défense contre les attaques russes depuis un certain nombre d'années, ils font encore principalement le travail sur place, donc c'est comme un combat au corps à corps", dit Hewie. "C'est assez difficile."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
