Des pirates du GRU ont déclenché une panne électrique en même temps que des frappes aériennes

Un an et demi après le lancement de l’invasion russe en Ukraine, de nouveaux éléments continuent d’apparaître sur les activités des unités cyber des renseignements russes au cours du conflit. Un nouveau rapport publié jeudi 9 novembre par la société Mandiant (qui appartient aujourd’hui à Google) révèle, notamment, qu’une cyberattaque a perturbé, en octobre 2022, une infrastructure électrique en Ukraine, dans un laps de temps très proche de frappes aériennes lancées par l’armée russe sur le territoire.

L’opération a été attribuée par Mandiant à Sandworm, un acteur spécialisé aussi bien dans l’espionnage que dans les opérations de cyberoffensives, et identifié comme l’Unité 74455 du GRU, les services de renseignements militaires russes. Ce groupe est notamment un des acteurs à avoir attaqué le parti En Marche ! au moment de la campagne des « MacronLeaks » en 2017. Sandworm est déjà accusé d’être derrière deux précédentes attaques majeures menées contre des infrastructures du réseau électrique ukrainien, en 2015 et 2016.

Le nouveau rapport technique sur l’attaque d’octobre 2022 explique que les premières traces d’activité des pirates au sein du réseau ciblé remontent au mois de juin, sans que l’on sache exactement quand Sandworm est parvenu à pénétrer initialement. Les agents des renseignements russes ont ensuite consolidé leur présence puis ont accédé à une partie du réseau gérant les infrastructures techniques, pour pouvoir, le 10 octobre, exécuter des commandes destinées à perturber le réseau électrique. Le nombre de citoyens ukrainiens touchés à l’époque n’a pas été établi avec précision.

Un piratage qui coïncide avec des frappes

Deux jours plus tard, toujours selon Mandiant, Sandworm a déployé sur le réseau un « wiper », c’est-à-dire un logiciel malveillant conçu pour effacer des données. Cette deuxième attaque n’a néanmoins pas eu d’impact sur les installations physiques et pourrait avoir simplement été menée pour effacer les traces de l’activité des pirates.

Plus troublant : au moment où l’unité du GRU déclenchait une panne électrique, l’armée russe lançait une importante vague de frappes aériennes contre plusieurs grandes villes ukrainiennes, touchant notamment des infrastructures critiques et générant des pannes importantes dans plusieurs régions. Si les chercheurs expliquent ne pas être en mesure d’établir un lien ferme entre les deux événements, la ville dans laquelle se trouvait le réseau électrique visé par Sandworm, près de la frontière avec la Russie, se trouvait néanmoins parmi les localités touchées par ces frappes. Si elle était avérée, cette coordination marquerait une première dans l’histoire des cyberattaques visant à dégrader ou perturber des infrastructures physiques.

Il vous reste 20% de cet article à lire. La suite est réservée aux abonnés.