Lors de la conférence CyberwarCon qui s’est tenue le 2 novembre à Arlington, Virginie, les intervenants se sont attardés sur un autre type de cyberguerre, alors que les pays se tournent vers des stratégies, outils et tactiques de menace persistante (APT) innovants pour attaquer leurs adversaires et espionner les dissidents nationaux. Le groupe de renseignement militaire russe appelé Sandworm, sur lequel on savait peu de choses jusqu'à récemment, est l’un des plus caractéristiques et des plus visibles de cette cyberguerre inter-étatique. Ce mystérieux groupe est à l’origine de certaines des cyberattaques les plus destructrices de l'histoire.

Lors de la CyberwarCon, le journaliste de Wired, Andy Greenberg, est revevenu sur Sandworm. Grâce à son enquête très fouillée, il a pu donner un aperçu sur les activités malveillantes du groupe. C’est au début de l’année 2014 que ce nom est apparu pour la première fois. L’attaque de Sandworm, qualifiée par M. Greenberg de « véritable acte de cyberguerre », avait ciblé le réseau électrique ukrainien. À l’époque, les gestionnaires de réseau en Ukraine avaient assisté impuissants à des « attaques de souris fantômes » sur leurs écrans pendant que Sandworm verrouillait les installations, coupait l'alimentation de secours de leurs salles de contrôle, et privait d'électricité un quart de million de civils ukrainiens.

Fin 2016, Sandworm a encore frappé la production d’électricité ukrainienne. « Ce piratage était un exemple typique d’attaque menée par un État-nation contre un adversaire en plein milieu d'une guerre cinétique », a déclaré M. Greenberg. S’il n’y avait pas eu d’erreur de configuration dans le logiciel malveillant de Sandworm, l'attaque aurait pu être beaucoup plus dévastatrice. Comme l’a fait remarquer le journaliste, l’attaque aurait pu griller des lignes ou faire sauter des transformateurs, citant les découvertes récentes de Joe Slowik, de l’entreprise de cybersécurité américaine Dragos, qui a effectué des recherches sur l'incident.

Le piratage ukrainien préfigure ce qui se passera ailleurs

« Jamais auparavant, un acte de piratage n’avait provoqué la destruction d’un réseau électrique, mais c’est quelque chose que nous avons toujours redouté », a déclaré le journaliste de Wired. « Plus inquiétant encore, nous avons compris que ce qui était arrivé en Ukraine pourrait se reproduire n’importe où, parce que la Russie a fait de l’Ukraine son laboratoire d'essai pour la cyberguerre. Tôt ou tard, cette cyberguerre se propagera à l'Occident », a ajouté M. Greenberg. « Quand on fait ce genre de prédictions, on espère qu'elles ne se réaliseront pas ».

Mais, en juin 2017, Sandworm a ciblé l'Occident dans le cadre d’une autre attaque d’envergure. Celle-ci impliquait le malware NotPetya, dont la propagation a causé des dégâts incalculables sur plusieurs continents, en Europe et aux États-Unis, mais surtout en Ukraine. NotPetya a mis hors d’état « 300 entreprises ukrainiennes et 22 banques, quatre hôpitaux, de multiples aéroports, pratiquement toutes les agences gouvernementales. C'était une sorte d'attentat à la bombe sur l'Internet ukrainien, mais il s'est immédiatement répandu au reste du monde. Ce que j’avais prédit est arrivé beaucoup plus rapidement que je ne le redoutais », a déclaré Andy Greenberg.

On ne connait toujours pas le coût financier, énorme, de NotPetya, mais pour les entreprises qui ont estimé les dégâts de l'attaque, les chiffres sont stupéfiants. Le géant maritime Maersk, qui a bataillé pendant des mois pour rétablir ses systèmes après l’attaque - tous ses écrans d'ordinateur sont devenus « noirs, noirs, noirs, noirs, noirs, noirs », selon le témoignage d'un employé de Maersk - a estimé le coût de l'attaque à 300 millions de dollars. Les conséquences pour l’entreprise pharmaceutique Merck ont été encore plus graves : elle a estimé le coût de l'attaque à 870 millions de dollars. « Il faut considérer ces pertes financières et d'autres pertes financières connues, liées au malware NotPetya, estimées à ce jour à 10 milliards de dollars, comme un plancher », a déclaré M. Greenberg, citant Tom Bossert, ancien conseiller du Département de la sécurité intérieure des États-Unis.

Sandworm cible les campagnes politiques, les événements mondiaux

Lors de la conférence CyberwarCon, Neel Mehta et Billy Leonard, chercheurs en sécurité de Google, ont donné d’autres détails sur les activités de Sandworm. Ils se sont intéressés aux élections françaises de 2017, au moment où le groupe de hackers russes a commencé à cibler la campagne présidentielle d'Emmanuel Macron. Avant que le groupe Sandworm ne prenne le relais des attaques menées par la Russie - les chercheurs de Google fixent le passage à l’action au 14 avril - le GRU, les services de renseignement russe, autre cyber acteur de la Russie, était déjà à la manœuvre et ciblait également la campagne de Macron. « C'est comme si l'équipe B avait demandé à l'équipe A de la remplacer pour finir le match », a déclaré Billy Leonard. « L'infrastructure, les comptes, tout ce que cela implique. Chaque groupe a mené deux opérations bien distinctes ».

Puis, à l'automne et au début de l'hiver 2017, Sandworm a ciblé la Corée du Sud et un certain nombre d'organisations liées aux Jeux olympiques d'hiver organisés à PyeongChang. « Le groupe russe a commencé à cibler les mobiles Android afin de répandre des malwares dans un certain nombre d'applications infectées », ont déclaré Neel Mehta et Billy Leonard. Leur tactique consistait à prendre le contrôle d'un certain nombre d'applications légitimes populaires en Corée du Sud, comme une application d'horaires de bus. « Ils ont remplacé l'application légitime par la même application, avec un backdoor ». Même si les chercheurs ne comprennent pas clairement pourquoi le groupe a cherché à infecter les mobiles Android, ils ont déclaré qu'aucun appareil n'avait été infecté par le malware. Selon eux, la dernière activité de Sandworm en Corée du Sud date de la mi-mars 2017, ce qui est étrange, puisque les Jeux olympiques se sont achevés fin février 2017.

Des entreprises russes également ciblées

Au printemps 2018, l’activité du groupe Sandworm a pris une autre orientation. Les chercheurs de Google ont constaté que les mêmes malwares avaient été utilisés pour cibler des entreprises localisées cette fois sur le sol russe, en particulier des sociétés immobilières, des institutions financières et l'industrie automobile. « C'est un changement de stratégie assez important. On a du mal à imaginer que ce groupe, qui ciblait les JO il y a deux ans, s’attaque aujourd’hui à des entreprises nationales en Russie », a déclaré Billy Leonard. À partir de l'automne 2018, Sandworm a commencé à cibler les développeurs de logiciels et les développeurs d'applications mobiles, et d'autres développeurs, principalement basés en Ukraine.

D’après les chercheurs Neel Mehta et Billy Leonard, le groupe de pirates russes a réussi à compromettre un développeur d'application. Tous les pays, et pas seulement l'Ukraine, sont extrêmement vulnérables aux attaques de Sandworm. Après avoir cité l'ancien directeur de la NSA et de la CIA Michael Hayden qui a déclaré : « Sur Internet, nous sommes tous Polonais », en référence à l'invasion rapide du pays par l'Allemagne pendant la Seconde Guerre mondiale, Andy Greenberg estime qu’aujourd’hui, il faut regarder quelques centaines de kilomètres plus loin. « Sur Internet, nous sommes tous l'Ukraine », a-t-il ainsi déclaré.