Mise au jour d’APT44 : Sandworm, la célèbre unité russe de cyber-sabotage

avril 2024 par Mandiant

Alors que l’invasion à grande échelle de la Russie en est à sa troisième année, Sandworm (alias FROZENBARENTS) reste une menace redoutable pour l’Ukraine. Les opérations menées par le groupe pour soutenir les objectifs de guerre de Moscou se sont révélées tactiquement et opérationnellement adaptables et, à ce jour, semblent mieux intégrées aux activités des forces conventionnelles de la Russie qu’au cours de toute autre phase antérieure du conflit. À ce jour, aucun autre cyber-groupe soutenu par le gouvernement russe n’a joué un rôle aussi central dans l’élaboration et le soutien de la campagne militaire russe.

Pourtant, la menace posée par Sandworm est loin de se limiter à l’Ukraine. Mandiant continue de constater que le groupe mène des opérations d’envergure mondiale dans des points névralgiques de la Russie sur les plans politique, militaire et économique. En outre, avec un nombre record de personnes participant aux élections nationales en 2024, les antécédents de Sandworm en matière de tentatives d’ingérence dans les processus démocratiques augmentent encore la gravité de la menace que le groupe peut représenter à court terme.

Des attaques de ce type sont exactement ce à quoi nous nous préparons à l’approche des élections et des Jeux olympiques. Même des attaques superficielles ayant peu d’effets concrets peuvent avoir un impact si elles coïncident avec des événements importants et si leurs effets sont exagérés. Nous devrons trouver un équilibre entre la préparation à ces incidents et le fait de ne pas les surestimer.

Compte tenu de la nature active et diffuse de la menace posée par Sandworm à l’échelle mondiale, Mandiant a décidé de transformer le groupe en une menace persistante avancée (APT44). Dans le cadre de ce processus, Mandiant publie un rapport intitulé "APT44 : Unearthing Sandworm" qui fournit des informations supplémentaires sur les nouvelles opérations du groupe, des informations rétrospectives et un contexte sur la façon dont le groupe s’adapte pour soutenir les objectifs de guerre de Moscou.

Principales conclusions

Parrainé par les services de renseignement militaires russes, APT44 est un acteur dynamique et mature sur le plan opérationnel, activement engagé dans toute la gamme des opérations d’espionnage, d’attaque et d’influence. Alors que la plupart des groupes de menace soutenus par des États ont tendance à se spécialiser dans une mission spécifique telle que la collecte de renseignements, le sabotage de réseaux ou la conduite d’opérations d’information, APT44 se distingue par la façon dont il a perfectionné chacune de ces capacités et a cherché à les intégrer dans un cahier des charges unifié au fil du temps. Chacune de ces composantes respectives, et les efforts d’APT44 pour les combiner en vue d’un effet combiné, sont essentiels au concept de "confrontation informationnelle" qui guide la Russie en matière de cyberguerre.

APT44 a mené une action agressive sur plusieurs fronts pour aider l’armée russe à prendre l’avantage en temps de guerre et est responsable de la quasi-totalité des opérations perturbatrices et destructrices menées contre l’Ukraine au cours de la dernière décennie. Tout au long de la guerre menée par la Russie, APT44 a mené une campagne intensive de cyber-sabotage à l’intérieur de l’Ukraine. En utilisant des outils cybernétiques perturbateurs, tels que des logiciels malveillants conçus pour perturber les systèmes, APT44 a cherché à avoir un impact sur un large éventail de secteurs d’infrastructures critiques. Ces opérations ont parfois été coordonnées avec des activités militaires conventionnelles, telles que des frappes cinétiques ou d’autres formes de sabotage, dans le but d’atteindre des objectifs militaires communs.

Toutefois, à mesure que la guerre se prolonge, APT44 se concentre davantage sur la collecte de renseignements que sur la perturbation. Les cibles et les méthodes du groupe ont considérablement évolué au cours de la deuxième année de guerre, l’accent étant mis de plus en plus sur les activités d’espionnage destinées à donner un avantage aux forces conventionnelles russes sur le champ de bataille. Par exemple, une campagne de longue durée d’APT44 a aidé les forces terrestres russes déployées à l’avant à exfiltrer les communications des appareils mobiles capturés afin de collecter et de traiter des données de ciblage pertinentes. L’approche d’APT44 en matière de soutien à la campagne militaire russe a considérablement évolué au cours des deux dernières années.

Les équipes Mandiant sont convaincues que l’APT44 est considéré par le Kremlin comme un instrument de pouvoir flexible, capable de servir les intérêts et les ambitions nationales de la Russie, y compris les efforts visant à saper les processus démocratiques dans le monde.

Bien qu’il s’agisse d’une branche de l’armée russe, les activités de sabotage du groupe ne se limitent pas à des objectifs militaires et couvrent également les intérêts nationaux plus larges de la Russie, tels que les efforts de signalisation politique du Kremlin, les réponses aux crises ou les réponses non escalatoires intentionnelles à ce qui est perçu comme des atteintes à la stature de Moscou dans le monde.

Le soutien d’APT44 aux objectifs politiques du Kremlin s’est traduit par certaines des cyberattaques les plus importantes et les plus conséquentes de l’histoire. Ces opérations comprennent des perturbations inédites du réseau énergétique ukrainien au cours des hivers 2015 et 2016, l’attaque mondiale NotPetya programmée pour coïncider avec le jour de la Constitution ukrainienne en 2017, et la perturbation de la cérémonie d’ouverture des Jeux olympiques de Pyeongchang en 2018 en réponse à l’exclusion de la Russie des jeux pour cause de dopage, pour n’en citer que quelques-unes.

• Ciblage des élections ukrainiennes de 2014

• Perturbation du réseau énergétique en Ukraine en 2015

• Perturbation du réseau énergétique en Ukraine en 2016

• Piratage et fuite des élections américaines de 2016

• Attaques perturbatrices de 2016 contre le secteur financier ukrainien

• Piratage et fuite lors des élections françaises de 2017

• 2017 Perturbation mondiale via une attaque de la chaîne d’approvisionnement (NotPetya)

• 2018 Perturbation des Jeux olympiques de PyeongChang

• 2019 Perturbation des chaînes de télévision géorgiennes

En raison de ses antécédents d’utilisation agressive de capacités d’attaque de réseaux dans des contextes politiques et militaires, APT44 représente une menace persistante et très grave pour les gouvernements et les opérateurs d’infrastructures critiques dans le monde entier, là où les intérêts nationaux de la Russie s’entrecroisent. La combinaison des capacités élevées d’APT44, de sa tolérance au risque et de son mandat de grande envergure visant à soutenir les intérêts de la Russie en matière de politique étrangère fait courir aux gouvernements, à la société civile et aux opérateurs d’infrastructures critiques du monde entier le risque de tomber dans le collimateur du groupe dans un délai très court.

Mandiant estime également qu’APT44 présente un risque important de prolifération de nouveaux concepts et méthodes de cyberattaque. Les progrès continus et l’utilisation sauvage des capacités perturbatrices et destructrices du groupe ont probablement abaissé la barrière d’entrée pour d’autres acteurs étatiques et non étatiques qui souhaitent reproduire et développer leurs propres programmes de cyberattaques. La Russie elle-même est certainement consciente de ce risque de prolifération et s’en préoccupe, puisque Mandiant a observé des entités russes de cybersécurité exercer leur capacité à se défendre contre des catégories de capacités cybernétiques perturbatrices utilisées à l’origine par APT44 contre l’Ukraine.

Perspectives d’avenir

APT44 continuera très certainement à représenter l’une des cybermenaces les plus vastes et les plus graves au niveau mondial. Elle est à l’avant-garde du paysage des menaces depuis plus d’une décennie et est responsable d’une longue liste de premières qui ont créé des précédents pour les futures cyberattaques. Les modèles d’activités historiques, tels que les efforts visant à influencer les élections ou à exercer des représailles contre les organismes sportifs internationaux, suggèrent qu’il n’y a pas de limite aux impulsions nationalistes qui pourraient alimenter les opérations du groupe à l’avenir.

Avec la poursuite de la guerre en Russie, Mandiant pense que l’Ukraine restera le principal centre d’intérêt des opérations d’APT44. Toutefois, comme l’histoire l’indique, la volonté du groupe de mener des cyber-opérations en faveur des objectifs stratégiques plus larges du Kremlin à l’échelle mondiale fait partie intégrante de son mandat. Mandiant estime donc que l’évolution de la dynamique politique occidentale, les élections à venir et les nouveaux problèmes qui se posent à l’étranger proche de la Russie continueront à influencer les opérations d’APT44 dans un avenir prévisible.