Sandworm continue « de représenter l’une des cybermenaces les plus vastes et les plus graves à l’échelle mondiale ». L’entreprise américaine Mandiant, détenue par Google, publie le 17 avril un rapport complet sur l’un des plus célèbres groupes de hackers du Kremlin, APT44, plus connu sous le surnom « Sandworm », le ver des sables.
Les experts en cyber ont analysé les activités des pirates du renseignement militaire russe et ont constaté que le groupe ne s’en tient plus à des opérations sur des cibles stratégiques. Google indique que plusieurs chaînes Telegram russes à tendance ultranationaliste seraient animées par ces mêmes agents du Kremlin.
« APT44 cultive des identités d’hacktivistes qui lui servent d’atouts pour ses opérations d’information ultérieures. Il est passé par au moins trois canaux Telegram principaux de type hacktiviste pour revendiquer la responsabilité de ses opérations perturbatrices en temps de guerre », note le rapport.
Sur ces mêmes chaînes, les hackers postent des données volées, se vantent, exagèrent leur attaque. Ils y revendiquent même des attaques qui sortent du cadre ordinaire de leurs missions pour le Kremlin. En janvier 2024 par exemple, le système informatique d’un château d’eau dans le Texas est victime de cyberattaque et le réservoir déborde pendant près d’une demi-heure avant que les équipes ne parviennent à arrêter l’incident.
Mandiant n’est pas en mesure, à l’heure actuelle, de vérifier de manière indépendante l’activité d’intrusion revendiquée. « Toutefois, nous notons que les responsables des services publics américains concernés ont par la suite reconnu publiquement les incidents survenus dans les entités présentées comme victimes dans la vidéo de CyberArmyofRussia_Reborn » note Mandiant.
Une cyberattaque totalement ratée en France
Une autre attaque a cette fois ciblée la France. Les pirates de Sandworm ont revendiqué une attaque contre un barrage en Bourgogne dans le département de l’Yonne. Or, le Monde révèle qu’il s’agissait seulement d’un Moulin dans le village de Courlon-sur-Yonne. « Dans le village, personne n’a rien remarqué. L’analyse des images montre que l’attaque a essentiellement permis de faire baisser de 20 centimètres le niveau en amont », peut-on lire dans l’article.
Selon les experts en cyber de Google, ces nouvelles opérations ont pour objectif de « faire apparaître les capacités du GRU (le renseignement militaire russe) comme plus puissantes par le biais de revendications d’impact exagérées. »
Néanmoins, ces actes uniques doivent être surveillés de près. Interrogé par Wired, John Hultquist, chef analyste chez Google, déclare que « quelqu’un qui utilise cette fausse identité (d’hacktiviste) fait des choses très agressives, et ce, à échelle mondiale. Il pourrait en fin de compte causer un incident très grave. » Même si ces opérations étaient menées de manière indépendante par les agents du Kremlin, la doctrine de Poutine a montré que tout ce qui perturbe, de près ou de loin, l’Occident sert les intérêts de la Russie.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !