Le groupe de piratage Sandworm associé au renseignement militaire russe a caché des attaques et des opérations derrière plusieurs personnalités en ligne se faisant passer pour des groupes hacktivistes.

Selon Mandiant, l’acteur de la menace est lié à au moins trois canaux Telegram qui ont été utilisés pour amplifier l’activité du groupe en créant des récits en faveur de la Russie.

Sandworm-alias BlackEnergy, Seashell Blizzard, Voodoo Bear, est actif depuis au moins 2009, plusieurs gouvernements attribuant ses opérations à l’Unité 74455, le Principal Centre de Technologies Spéciales (GTsST) au sein de la Direction Principale de l’État-Major Général des Forces Armées de la Fédération de Russie (GU), mieux connue sous le nom de Direction Principale du Renseignement (GRU).

Structure hiérarchique

L’adversaire est très adaptatif et s’appuie à la fois sur des méthodes d’accès initiales courantes telles que le phishing et la collecte d’informations d’identification, ainsi que sur l’exploitation des vulnérabilités connues et des compromissions de la chaîne d’approvisionnement.

Mandiant a commencé à suivre le groupe sous le nom d’APT44 et note qu’il « s’est imposé comme la principale unité de cyber-sabotage de Russie. »

Depuis que la Russie a envahi l’Ukraine il y a un peu plus de deux ans, Sandworm a commencé à utiliser des personnalités en ligne pour des fuites de données et des opérations perturbatrices.

Dans un rapport publié aujourd’hui, Mandiant affirme que Sandworm s’appuyait sur trois principaux canaux Telegram de marque hacktiviste nommés Équipe XakNet, CyberArmyofRussia_Reborn et Solntsepek, fonctionnant tous en parallèle et indépendamment les uns des autres.

Personnages Telegram exploités par APT 44

On ne sait pas quel contrôle l’auteur de la menace avait sur ces identités, mais le groupe d’analyse des menaces de Google a trouvé dans le cas de CyberArmyofRussia_Reborn la relation opérationnelle la plus proche.

Google TAG a découvert que la chaîne YouTube du groupe apparemment hacktiviste avait été créée à partir d’une infrastructure attribuée à Sandworm/APT44.

De plus,  » Mandiant a observé une infrastructure APT44 connue utilisée pour exfiltrer les données des victimes divulguées plus tard dans le canal Telegram CyberArmyofRussia_Reborn, ainsi que la sortie vers Telegram à proximité temporelle des revendications publiées du personnage. »

À un moment donné, une erreur de la part d’APT44 a conduit CyberArmyofRussia_Reborn à revendiquer sur sa chaîne une attaque qu’APT44 n’avait pas encore menée.

Bien que la plupart des activités d’attaque et de fuite attribuées par Mandiant au GRU et impliquant des personnalités de Telegram soient centrées sur des entités ukrainiennes, CyberArmyofRussia_Reborn a revendiqué des attaques contre des services d’eau aux États-Unis et en Pologne et une centrale hydroélectrique en France.

Dans les deux cas, les « hacktivistes » ont publié des vidéos et des captures d’écran montrant le contrôle des actifs technologiques opérationnels.

Mandiant note que bien qu’il ne puisse pas vérifier ces intrusions, les responsables des services publics touchés aux États-Unis ont confirmé des incidents et des dysfonctionnements dans des organisations que la Cyberarmée de Russie Reborn prétendait avoir violées.

La chaîne Solntsepek avait divulgué des informations personnellement identifiables auprès du personnel militaire et de sécurité ukrainien avant d’être rebaptisée « groupe de pirates informatiques » en 2023 lorsqu’elle a commencé à s’attribuer le mérite des cyberattaques perturbatrices d’APT44.

« Au-delà d’une tentative grossière de maximiser son impact opérationnel, nous estimons que ces opérations d’information de suivi sont probablement destinées par APT44 à servir de multiples objectifs en temps de guerre », explique Mandiant dans le rapport.

« Ces objectifs consistent notamment à amorcer l’espace de l’information avec des récits favorables à la Russie, à générer des perceptions du soutien populaire à la guerre pour le public national et étranger, et à rendre les cyber-capacités du GRU plus puissantes grâce à des affirmations exagérées d’impact » – Mandiant

La guerre en Ukraine a rendu Sandworm célèbre pour avoir lancé des attaques à multiples facettes visant à endommager les infrastructures et les services critiques du pays, y compris les réseaux publics, les fournisseurs de télécommunications, les médias d’information et le réseau électrique.

Au cours de cette période, les pirates russes ont utilisé une gamme de logiciels malveillants d’essuie-glace pour effacer les données au-delà de la récupération.

Activité des vers de sable en Ukraine

Il semble que Sandworm ait déplacé l’attention, ne serait-ce que temporairement, des attaques de sabotage en Ukraine vers des opérations d’espionnage et d’influence pour changer les perceptions nationales et étrangères sur le pouvoir des hacktivistes russes et les cybercapacités du GRU.

Activité de l’APT 44 cette année
Le rapport de Mandiant développe l’utilisation par APT 44 d’un riche ensemble de logiciels malveillants, de campagnes de phishing et d’exploitation de vulnérabilités pour un accès initial et des opérations soutenues au sein de réseaux ciblés, offrant plusieurs études de cas spécifiques:

  • APT44 continue de cibler les systèmes électoraux des pays de l’OTAN, en utilisant des cyberopérations qui impliquent la fuite d’informations sensibles et le déploiement de logiciels malveillants pour influencer les résultats des élections.
  • Le groupe s’est concentré davantage sur la collecte de renseignements pour soutenir les avantages militaires russes, notamment l’extraction de données à partir d’appareils mobiles capturés sur les champs de bataille.
  • APT44 effectue un vol généralisé d’informations d’identification ciblant les serveurs de messagerie mondiaux, dans le but de maintenir l’accès aux réseaux à haute valeur ajoutée pour d’autres activités malveillantes.
  • Le groupe cible les journalistes et les organisations comme Bellingcat qui enquêtent sur les activités du gouvernement russe à l’aide de messages de phishing.
  • Depuis le début de l’année, APT44 a mené des cyberopérations pour exprimer son mécontentement politique ou riposter à des griefs, déployant des logiciels malveillants perturbateurs contre des infrastructures critiques dans les pays de l’OTAN.
  • Les activités d’APT44 restent concentrées sur l’Ukraine, avec des opérations en cours pour perturber et collecter des renseignements, soutenant les objectifs militaires et politiques russes dans la région.

Mandiant avertit que sur la base des modèles d’activité d’APT44, il y a de très fortes chances que le groupe tente d’interférer avec les prochaines élections nationales et d’autres événements politiques importants dans divers pays, y compris les États-Unis.

Cependant, les chercheurs pensent que l’Ukraine continuera d’être la principale cible de l’acteur menaçant aussi longtemps que la guerre se poursuivra. En même temps, Sandworm est suffisamment polyvalent pour exécuter des opérations pour des objectifs stratégiques au niveau mondial.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *