L’enquête progresse sur le black-out subi par le plus grand fournisseur de services de télécommunications d'Ukraine, Kyivstar. A la mi-décembre, des pirates russes ont effacé tous les systèmes du cœur de réseau de l’opérateur. Conséquence, les service de téléphonie mobile et Internet sont tombés en panne pour les 25 millions d’abonnés. Le rétablissement a été effectif et complet le 20 décembre.

Récemment, Illia Vitiuk, chef du département de cybersécurité du Service de sécurité de l'Ukraine (SSU) a déclaré à nos confrères de Reuters que les attaquants avaient pénétré dans le réseau de Kyivstar en 2023. « Pour l'instant, nous pouvons affirmer avec certitude qu'ils étaient dans le système au moins depuis mai 2023. Mais je ne peux pas dire depuis quand ils avaient un accès total : probablement au moins depuis novembre, » a-t-il déclaré. Dans un communiqué, il souligne « avoir empêché un certain nombre de tentatives susceptibles de causer encore plus de dommages à l’opérateur ». Et il ajoute : « actuellement, les cyber-spécialistes du SSU analysent les échantillons des malwares utilisés par l’ennemi. L’attaque a été soigneusement préparée pendant de nombreux mois. »

Le groupe russe Sandworm pointé du doigt

Dans le communiqué, le SSU attribue ce cyber-sabotage au groupe Sandworm. Lié au renseignement militaire russe, il est à l’origine de certaines des cyberattaques les plus destructrices de l'Histoire. Il a notamment déjà frappé l’Ukraine à plusieurs reprises et en particulier son réseau électrique (en 2014 et 2016). Par ailleurs, il était derrière la campagne du malware NotPetya qui a provoqué d’importants dégâts au sein de grandes entreprises (Maersk, Merck, Saint Gobain,…)

Dans le cadre de l’attaque contre Kyivstar, la revendication a été faite par le biais du groupe Solntsepek (lié à Sandstorm). Celui-ci a déclaré avoir effacé 10 000 PC et des milliers de serveurs sur le réseau de l’opérateur. « Nous, les hackers de Solntsepek, assumons l'entière responsabilité de la cyberattaque contre Kyivstar. Nous avons détruit 10 000 ordinateurs, plus de 4 000 serveurs, tous les systèmes de stockage cloud et de sauvegarde », a déclaré le groupe dans un message sur Telegram.