D’après Flashpoint, des informations sur les attaques engagées par le cybercollectif russe Killnet contre le gouvernement lituanien et des institutions privées, ainsi que la possible collaboration du groupe avec le gang de pirates Conti, ont été partagées sur le service de messagerie Telegram avant l’importante campagne DDoS de lundi dernier. De multiples attaques contre des entités lituaniennes ont été revendiquées par Killnet sur sa chaîne Telegram « WE ARE KILLNET », en réponse aux restrictions imposées par la Lituanie, qui empêche, depuis le 18 juin, toute circulation de marchandises provenant ou à destination de la Russie. Un article du blog de Flashpoint confirme que Killnet a prévenu des attaques sur le canal Telegram en expliquant qu’il avait choisi la plateforme de messagerie instantanée, car elle servait couramment de canal de communication aux acteurs de la menace. 

Conformément aux sanctions imposées par l'ONU à la Russie suite à son invasion de l'Ukraine en février 2022, le gouvernement lituanien a imposé des restrictions de circulation sur les routes commerciales entre le pays balte et l'enclave russe de Kaliningrad, un territoire russe situé entre la Lituanie et la Pologne sur la côte baltique, utilisées notamment au transport de l'acier et d'autres métaux. Selon le gouvernement russe, ces axes ferroviaires commerciaux sont essentiels pour l’acheminement de la moitié, au moins, des importations de l'enclave, au point que les responsables russes ont assimilé cette mesure à un « blocus ». Cette restriction ferroviaire entraîne l'interdiction de transit de marchandises comme le charbon, l'acier, le métal, les matériaux de construction et les technologies de pointe. 

Des attaques DDoS contre des infrastructures lituaniennes 

C’est au moment de l'invasion de l'Ukraine que Killnet a déclaré son allégeance au gouvernement russe. « Dans cette campagne de représailles déclenchée contre la Lituanie en réponse aux sanctions, Killnet a lancé plusieurs attaques DDoS sur des cibles d'infrastructure, dont des aéroports, diverses entreprises importantes et des sites Web gouvernementaux, en particulier ceux des services de police et du ministère de la Défense de la Lituanie », a déclaré Flashpoint. Les attaques DDoS sont des tentatives malveillantes visant à perturber temporairement ou indéfiniment le trafic d'un serveur, d'un service ou d'un réseau ciblé, rendant les ressources indisponibles pour les utilisateurs visés. Dans une déclaration envoyée à Reuters, Killnet indique que « l'attaque se poursuivra jusqu'à ce que la Lituanie lève le blocus », et affirme avoir « démoli 1652 ressources Web. Et ce n'est qu’un début ». Le Centre national lituanien de cybersécurité a déclaré à Reuters qu'il s'attendait à « des attaques d'une intensité similaire ou supérieure dans les jours à venir, notamment dans les secteurs des transports, de l'énergie et de la finance. » 

Flashpoint a révélé que dans plusieurs conversations repérées sur divers canaux Telegram pro-russes, certains disent que « l'impasse actuelle entre la Russie et la Lituanie pourrait dégénérer en une véritable confrontation militaire ». L’entreprise de cybersécurité indique qu’elle n’a constaté aucune violence physique réelle ayant un rapport avec les menaces proférées sur Telegram. Dans un chat Telegram du 25 juin, Killnet évoque un projet d’attaque massive coordonnée pour le 27 juin, appelé « Jour du Jugement ». D'autres attaques de moindre envergure ont également été observées par les analystes de Flashpoint, dont une, le 22 juin. De plus, dans un message daté du 26 juin, repéré par les analystes de Flashpoint, Killnet qualifie la Lituanie de « terrain de test pour ses nouvelles compétences » et ajoute que ses « amis de Conti » sont impatients de se battre, ce qui laisse supposer une collaboration entre Killnet et Conti, un autre gang de ransomware basé en Russie. Conti avait également exprimé son allégeance à la Russie au début de l'invasion de l’Ukraine par la Russie.