La Chine, l'Ukraine et Israël sous l'oeil des experts de la cyberguerre

Alors que les conflits militaires causent des destructions dévastatrices dans le monde physique, les gouvernements de l'Ukraine et d'Israël luttent contre l'escalade des dommages cyber, causés par des acteurs de la menace soutenus, ou non, par des États. Dans ce contexte, le gouvernement américain s'inquiète de plus en plus de la Chine et de sa capacité à passer en mode cyberguerre active. Lors de la Cyberwarcon organisée le 9 novembre dernier à Arlington, en Virginie, des experts gouvernementaux et industriels de haut niveau se sont réunis pour examiner les espaces complexes et multilatéraux dans lesquelles les cyberattaques et les menaces numériques connues et émergentes apparaissent dans le cadre de conflits imprévisibles. Il ressort de ces discussions que l’agression menée par la Russie dans le cyberespace devient de plus en plus destructrice, que le paysage de la désinformation et des perturbations numériques au Moyen-Orient est encore très mouvant et que l'infiltration permanente et difficile à repérer des infrastructures critiques américaines par des cyber-espions chinois pourrait préparer le terrain pour des actions dangereuses à venir.

Inquiétudes sur la Chine

Même si l’on sait que la Chine utilise largement ses compétences en cybersécurité pour voler de la propriété intellectuelle et espionner, il n'est pas rassurant qu'une loi chinoise adoptée en 2021 oblige les entreprises IT opérant dans le pays à signaler la découverte de failles exploitables à une base de données nationale sur les vulnérabilités dans les 48 heures suivant leur découverte, avant la disponibilité d’un correctif. Cette réglementation s'accompagne d'une série de restrictions sur ce que les chercheurs en sécurité peuvent dire au sujet des failles qu'ils découvrent. Cette obligation conduira probablement à la constitution d'un stock secret de failles de type zero day qui pourront être partagées avec le ministère chinois de la sécurité d'État, chargé de superviser les opérations de piratage parrainées par l'État. Lors de la Cyberwarcon, Dakota Cary, chercheur non résident au Global China Hub de l'Atlantic Council, et Kristin Del Rosso, directrice technique de Sophos pour le secteur public, ont présenté leurs recherches sur le fonctionnement et les implications que fait peser cette menace. « Je pense que certaines personnes commencent à comprendre la gravité de la situation », a déclaré la dirigeante.

L'accumulation de failles zero day a entraîné « une augmentation de l'utilisation par les Chinois de failles zero-day pour pénétrer dans les infrastructures critiques des États-Unis », a déclaré pour sa part Morgan Adamski, directrice du Cybersecurity Collaboration Center (CCC) de la NSA, lors de l'événement. En exhortant l'industrie à collaborer avec son agence sur la question de la Chine, Morgan Adamski a averti que « la République Populaire de Chine (RPC) disposait de ressources considérables ». Ajoutant que, selon le gouvernement américain, « leurs ressources étaient plus importantes que celles des États-Unis et de tous nos alliés réunis ». « La capacité de la Chine à échapper à la détection et à masquer ses activités explique en grande partie pourquoi le gouvernement américain a intensifié ses efforts pour sensibiliser l'industrie aux cyberdangers que représente la Chine », a-t-elle encore déclaré. « L'une de nos principales préoccupations est que la Chine continue d'utiliser l'infrastructure nationale américaine pour dissimuler ses activités et échapper à la détection du gouvernement et de l'industrie », ajoute-t-elle. « La Chine utilise un grand nombre d'infrastructures et de réseaux clandestins pour accéder aux infrastructures essentielles des États-Unis ». Cette intrusion est un projet à long terme. Selon Morgan Adamski, « la Chine se pré-positionne dans l'intention de s'infiltrer discrètement dans les réseaux essentiels pendant une longue période ».

Josh Zaritsky, directeur des opérations du Cybersecurity Collaboration Center de la NSA, a déclaré pour sa part que l'une des techniques utilisées par la Chine, et plus exactement par le groupe APT connu sous le nom de Volt Typhoon, pour s'introduire dans les réseaux américains, consiste à vivre en dehors du territoire ou à exploiter des produits courants que les acteurs de la menace utilisent pour éviter la détection. « Ils veulent continuer à nier avoir fait quoi que ce soit, même s'ils se font prendre. Autant dire qu’il n’y a pas grand-chose que l’on peut faire face à ce type d’acteurs qui exploitent les éléments déjà présents dans l'environnement ». En ce qui concerne Volt Typhoon, « nous n'avons détecté aucun signe d'attaques informatiques », ajoute Mark Parsons, principal analyste au Threat Intelligence Center de Microsoft. « Nous savons que c'est toujours l'impression qui se dégage. Nous n'avons rien vu de tel jusqu'à présent, mais c'est une chose à laquelle nous sommes évidemment attentifs. Nous avons remarqué que Volt Typhoon passait beaucoup de temps à essayer de maintenir la persistance à l'intérieur des réseaux. Ils sont très actifs à ce sujet, et ils sont là sur le long terme », a-t-il précisé. Malgré l'absence d'attaques actives, le groupe Volt Typhoon pourrait se préparer à des offensives destructrices. « Nous pensons qu'il y a là une possibilité de destruction ou de perturbation », a affirmé Judy Ng, analyste principale au sein du centre de Threat Intelligence de Microsoft.

Des attaques destructrices et permanentes de la Russie contre l'Ukraine

Volt Typhoon n'est pas le seul acteur soutenu par un État-nation à agir hors du territoire de son commanditaire pour dissimuler ses activités. Lors de la Cyberwarcon, John Wolfram, analyste principal au sein de l'équipe Mandiant Advanced Practices, et Mike Worley, analyste principal au sein de l'équipe Mandiant Cyber-Physical Threat, sont revenus plus en détail sur le rapport publié par les chercheurs en cybersécurité de la firme sur le groupe russe Sandworm, lequel associait le groupe à l'unité militaire 74455 du GRU russe. Ce rapport expliquait comment, fin 2022, Sandworm avait provoqué une panne d'électricité en Ukraine en ciblant un opérateur, panne qui avait coïncidé avec des frappes massives de missiles sur des infrastructures critiques dans toute l'Ukraine. L’attaque a mis en évidence la maturité croissante de l'arsenal technologique opérationnel offensif de la Russie. « Plus précisément, Sandworm a ciblé un composant du système MicroSCADA de Hitachi Energy, que plus de 10 000 sous-stations utilisent dans plus de 70 pays pour surveiller l'alimentation en électricité d'environ 10 % de la population mondiale », a expliqué Mike Worley. « Mener des actions en dehors du pays commanditaire est une caractéristique clé des opérations de Sandworm », a déclaré John Wolfram. « Ce qui est vraiment intéressant dans leur manière de procéder, c'est que ce groupe se fait souvent passer pour un service système officiel et l'arrête à temps pour qu'il corresponde aux services officiels », a-t-il ajouté.

« Depuis le début de l'invasion à grande échelle, l'adversaire se concentrait principalement sur la destruction des systèmes, l'effacement des données, etc. », a déclaré Victor Zhora, chef adjoint du service d’État ukrainien des communications spéciales et de la protection de l’information. « De nombreuses cyberattaques ont été combinées à des frappes physiques et à de brèves coupures d'électricité dans différentes régions, et la question est de savoir si elles sont dues à des cyberattaques ou à des attaques physiques. Dans la guerre Hamas-Israël, la Russie a déjà commencé à déployer certaines des tactiques utilisées en Ukraine, notamment des campagnes DDoS et l'infiltration de caméras de télévision en circuit fermé », poursuit Victor Zhora. « Nous nous attendions à ce que la Russie étende ces tactiques au-delà des territoires ukrainiens et à d'autres pays, et qu’elle ne se concentre pas uniquement sur des entreprises commerciales ou des ennemis gouvernementaux de nos alliés », a-t-il ajouté.

Les cybercriminels associés au Hamas pris au dépourvu

Israël est le dernier pays en date à avoir été victime d'attaques de groupes liés à la guerre. Cependant, le contexte de sa guerre avec le Hamas est compliqué par le déclenchement inattendu et soudain des hostilités début octobre et par l’implication d’adversaires autres que des acteurs politiques étatiques. Selon Yuri Rozhansky, directeur de recherche chez Mandiant, et Ben Read, directeur de l'équipe d'analyse du cyberespionnage de Mandiant Threat Intelligence, les trois principales menaces cybernétiques dans la guerre Hamas-Israël sont la démoralisation, la désinformation et la perturbation. « La démoralisation est évidemment très importante dans les opérations de désinformation et, plus généralement, cette désinformation est encore plus importante après coup, quand les gens ont été pris au dépourvu par l'attaque et qu’elle bascule dans l'espionnage, comme c’est toujours le cas », a déclaré Ben Read. « La combinaison de ces menaces a changé depuis le déclenchement de la guerre par le Hamas. La communauté de la sécurité s'est vraiment mobilisée pour tenter de défendre les réseaux et protéger tous ceux qui sont menacés », a-t-il ajouté.

Dans l'ensemble, les efforts déployés par les acteurs palestiniens de la menace, principalement associés au Hamas, pour démoraliser Israël ou diffuser de la désinformation ont échoué. « Il y a eu beaucoup d’actions contre des cibles israéliennes. Mais, ce qui est intéressant, c'est que la plupart ont échoué. Des gens ont affirmé que certains sites web étaient hors service, mais je pense que la plupart des sites étaient en service 98 % du temps », a déclaré Ben Read. Les faibles performances des acteurs de la menace pro-Hamas sont probablement liées au manque de ressources. Ben Read ajoute que la bande de Gaza ne fonctionne pas bien et il n’exclut pas que les personnes qui travaillaient sur les cyberactivités avant la guerre aient été appelées au service militaire actif. « Ces groupes n’ont pas accès à des tonnes de ressources sophistiquées, mais ils ont le temps, et ils sont nombreux », a-t-il déclaré.

L'Iran fait partie des États-nations à être intervenus dans la guerre. « En privé, nous avons constaté que le Ministère iranien du renseignement et de la sécurité (Ministry of Intelligence and Security, MOIS) et le Corps des gardiens de la révolution islamique (Islamic Revolutionary Guard Corps, IRGC) ciblent des organisations à mesure que le conflit prend de l'ampleur », a déclaré Simeon Kakpovi, analyste principal au Threat Intelligence Center de Microsoft. « Du côté du MOIS, nous avons comptabilisé au moins neuf acteurs actifs. Du côté du CGRI, nous avons compté au moins sept groupes actifs dans le cadre du conflit », a déclaré Simeon Kakpovi. « Cependant, nous n'avons aucune preuve que les acteurs iraniens de la menace étaient réellement préparés pour ces attaques. Ce que nous avons vu principalement, c'est que les acteurs iraniens ont profité de l'accès et des capacités qu'ils avaient déjà et qu'ils ont essayé d'en tirer le meilleur parti. Ils ont surtout réagi, plus qu’ils n’ont agi », a-t-il ajouté.