L’attaque informatique contre l’opérateur mobile Kyïvstar revendiquée par un acteur russe

Alors que le premier opérateur mobile ukrainien, Kyïvstar, cherche encore à rétablir l’accès complet au réseau pour ses abonnés, un groupe de pirates russophones, baptisé Solntsepyok, a revendiqué, mercredi 13 décembre, la cyberattaque qui, la veille, a sévèrement mis à mal le réseau de l’entreprise.

Lire aussi : En direct, guerre en Ukraine : « Nous ne soutenons pas l’adhésion rapide de l’Ukraine à l’UE ! », répète Viktor Orban

Dans un message vantard publié sur Telegram, le groupe affirme avoir détruit des milliers d’ordinateurs et de serveurs ainsi que les systèmes de sauvegarde de Kyïvstar. Sur la même chaîne Telegram ont également été diffusées des captures d’écran, non vérifiées, présentées comme des preuves que les pirates ont eu accès à des systèmes critiques de l’opérateur. Y figurent notamment un serveur de messagerie ou encore l’Active Directory, sorte de tour de contrôle d’un réseau informatique.

Solntsepyok est actif depuis plus d’un an. Le groupe semblait initialement concentrer son activité sur la diffusion de données privées relatives à des militaires ou agents du renseignement ukrainien, vraisemblablement en réponse à un site ukrainien baptisé Myrotvorets, sur lequel sont publiées des listes de personnes présentées comme des « ennemis de l’Ukraine ».

Près de 24 millions de clients touchés

La chaîne Telegram n’est pas sans rappeler les groupes russophones d’« hacktivistes » autoproclamés qui ont fleuri depuis le début de la guerre en Ukraine, et dont l’affiliation réelle est régulièrement questionnée. Les services de renseignement ukrainiens, eux, n’ont aucun doute sur l’origine de « Solntsepyok » : les autorités du pays ont en effet affirmé, dès le mois de juillet, que ce groupe était un faux-nez du GRU, les renseignements militaires russes.

Plus précisément, l’Ukraine relie Solntsepyok à Sandworm, un acteur identifié comme l’unité 74455 du GRU, spécialisé dans les opérations d’espionnage et cyberoffensives. Cette attribution a également été confirmée par la société Mandiant, propriété de Google, rapporte le magazine spécialisé Wired. « C’est un groupe qui a déjà revendiqué des attaques dont nous savons qu’elles ont été menées par Sandworm », a ainsi expliqué John Hultquist, directeur de l’analyse de la menace pour Mandiant.

Lire aussi : Article réservé à nos abonnés Guerre en Ukraine : des pirates du GRU ont déclenché une panne électrique en même temps que des frappes aériennes

Dans un communiqué publié mercredi, les autorités ukrainiennes ont déclaré avoir pris connaissance de la revendication diffusée par le groupe, sans donner plus d’informations. L’enquête sur le piratage de Kyïvstar est menée par le SBU, les services de sécurité intérieure ukrainiens.

Plus de 24 heures après l’attaque informatique qui a visé Kyïvstar, une grande partie de ses 24 millions de clients est toujours affectée par des pannes de réseau, selon les données de l’hébergeur américain Cloudflare. La remise en route des communications est toujours en cours, et l’entreprise a affirmé que les appels téléphoniques étaient désormais rétablis sur l’ensemble du territoire, rapporte le quotidien Ukrainska Pravda.

Mardi, la gigantesque panne provoquée par l’attaque informatique avait eu des répercussions sur d’autres infrastructures, dont un petit nombre de guichets de banque, et des sirènes d’alerte aériennes dans certaines régions. Pour Victor Zhora, ancien haut responsable en cybersécurité pour l’Etat ukrainien aujourd’hui visé par une enquête pour corruption, il s’agit de « l’attaque la plus efficace contre une infrastructure critique en Ukraine depuis le 24 février 2022 », a-t-il estimé sur le réseau social X.

Lire aussi l’enquête (2019) : Article réservé à nos abonnés L’Ukraine, cible préférée des hackeurs russes

Florian Reynaud