Alors que les craintes s'intensifient quant à la perspective d'une « cyberguerre » initiée par le gouvernement russe, le nombre de groupes de cybercriminels épaulés par l'Etat ne cesse également d'augmenter. Crowdstrike en a découvert un qui se nomme Ember Bear (également connu sous les noms de UAC-0056, Lorec53, Lorec Bear, Bleeding Bear, Saint Bear). Selon l’entreprise de cybersécurité, Ember Bear est vraisemblablement un groupe de collecte de renseignements qui a opéré contre des organisations gouvernementales et militaires en Europe de l'Est depuis début 2021. Selon les renseignements de Crowdstrike, le groupe russe semble « motivé pour exploiter l'accès et les données obtenus lors de leurs intrusions afin de soutenir des opérations d'information (OI) militaires. Ces opérations visent à créer la méfiance du public envers les institutions ciblées et à dégrader la capacité du gouvernement à contrer les cyberopérations russes ».

Ember Bear serait à l'origine du malware WhisperGate contre les réseaux ukrainiens en janvier, avant l'invasion. Ce malware se fait passer pour un ransomware mais ne comporte pas de mécanisme de paiement ou de récupération des données. Il masque sa véritable intention, à savoir la destruction des données. Les campagnes ont commencé par des défigurations de sites Web contenant des messages de menace en ukrainien, russe et polonais. Malgré son lien avec la Russie, le groupe diffère de ses semblables plus connus, comme Fancy Bear ou Voodoo Bear, car CrowdStrike ne peut pas le relier à une organisation russe spécifique. Le profil de la cible, l'évaluation des intentions et les tactiques, techniques et procédures techniques sont conformes à d'autres cyberopérations de la direction générale des renseignements (GRU) russe.

L’activité des cybermenaces russes en forte augmentation

Devant une audition de la commission de la sécurité intérieure de la Chambre des représentants sur les cybermenaces russes, Adam Meyers, vice-président senior chargé du renseignement chez CrowdStrike, a déclaré que « lorsque la Russie a commencé à rassembler des forces à la frontière ukrainienne, l'activité des cybermenaces russes a augmenté ». Comme l'a noté Adam Meyers, une foule d'autres attaques ont suivi les campagnes de WhisperGate, notamment du DDoS ou des offensives contre des réseaux satellitaires.

En plus de ces efforts, des groupes ont choisi leur camp dans le conflit, et une série d'organisations hacktivistes sont entrées dans la mêlée. Malgré ce niveau d'activité, la Russie n'a pas lancé de cyberattaques de haut niveau jusqu'à présent dans cette guerre. Mais, selon M. Meyers, « certains éléments indiquent que la Russie pourrait devenir plus agressive en représailles au soutien étranger apporté à l'Ukraine et aux sanctions importantes imposées au personnel et aux entités russes ».

Un partage d’informations en temps réel

S'exprimant lors de la même audience, Kevin M. Morley, responsable des relations fédérales à l'American Water Works Association (Awwa), a déclaré que « les récentes recommandations fédérales sur la façon d'atténuer les cybermenaces russes ont été inestimables ». Il ajoute, « le secteur de l'eau a participé activement à de nombreuses séances d'information organisées par la CISA et l'Agence américaine de protection de l'environnement (EPA), qui mettent en lumière l'évolution des menaces et aident les organisations professionnelles, telles que l'Awwa, à sensibiliser leurs membres. En collaboration avec des partenaires du secteur, l'EPA a contacté 58 000 fournisseurs desservant collectivement environ 300 millions d'Américains au sujet des préoccupations liées aux cybermenaces à la fin du mois de décembre 2021. Cela a conduit à plusieurs séances d'information au niveau sectoriel organisées par l'EPA pour partager des informations sur l'activité des cybermenaces russes », a déclaré M. Morley.

Steven Silberstein, PDG du Financial Services Information Sharing and Analysis Center, a déclaré que le consortium applaudissait l'administration Biden-Harris pour son suivi régulier et le partage rapide et anticipé d'informations tout au long de l'escalade de la situation géopolitique en Europe de l'Est et de l'invasion de l'Ukraine par la Russie. Ce consortium industriel dédié à la réduction des cyber-risques dans le système financier mondial a notamment salué le changement de paradigme, passant d'avertissements réactifs à des avertissements proactifs prévoyant une action militaire russe.

La sécurité collective des USA impactée

Enfin, Amit Yoran, CEO de Tenable, a également salué les efforts de l'administration pour aider les entreprises à faire face aux cybermenaces russes, mais a déclaré que « pour presque toutes les organisations, les pratiques de gestion des risques de cybersécurité sont les mêmes, que l'attaque vienne des Russes, d'autres États-nations, de cybercriminels ou d'autres mauvais acteurs ». « Les représentants ont certainement compris qu'il se passe quelque chose de nouveau vis-à-vis du CISA et du JCDC [Joint Cyber Defense Collaborative de la CISA], du partage d'informations au niveau public-privé et de son importance pour la sécurité collective des États-Unis », explique Adam Meyers de CrowdStrike.

En ce qui concerne Ember Bear et la raison pour laquelle l’éditeur a rendu public ce qu'il sait sur le groupe, Meyers dit : « nous avons examiné cet adversaire qui s'était engagé dans plusieurs attaques en Europe de l'Est et des campagnes de sabotage en Ukraine, en gardant les choses en interne ou en les rendant publiques. Les choses ont changé, et nous voulions partager cette information pour que d'autres puissent suivre ce groupe et comprendre comment il opère et quels sont ses objectifs ».

L'escalade russe contre l'Occident est envisagée

Quant à savoir pourquoi la Russie ne s'est pas engagée dans une cyberactivité préjudiciable, M. Meyers déclare que « des cyberattaques généralisées et destructrices en Ukraine auraient été contraires aux efforts russes en matière d'opérations d'information et de guerre psychologique contre le peuple ukrainien. Ils avaient besoin que les systèmes et l'infrastructure soient opérationnels pour pouvoir diffuser différents messages dans les médias, que ce soit à des fins psychologiques ou pour perturber ou créer de la désinformation auprès du grand public et de l'armée ». Compte tenu de la dynamique changeante en Ukraine, « à un moment donné, cela peut devenir discutable », explique Adam Meyers. « Ils peuvent décider qu'ils ne souhaitent plus mener d'opérations de désinformation contre l'Ukraine, et qu'il est plus avantageux pour eux de mener des opérations perturbatrices ».

L'Ukraine pourrait très bien devenir le moindre des champs de bataille numériques de la Russie. « La grande préoccupation devient l'escalade contre l'Occident. À un moment donné, le calcul pourrait être qu'il est plus bénéfique de mener une attaque perturbatrice contre les États-Unis afin d'affecter une sorte de message politique ou idéologique ». Entre-temps, au moins un membre du panel prévoit d'introduire une nouvelle législation visant à renforcer la cybersécurité des opérateurs de satellites à la suite de la cyberattaque russe contre le fournisseur de satellites Viasat. Au cours de l'audition, le représentant Tom Malinowski (D-NJ) a déclaré qu'il présenterait prochainement une législation qui « permettra aux opérateurs de satellites de mieux se protéger contre les cyberattaques ».