Dans le cyberespace, personne ne vous entendra crier. C’est une guerre silencieuse qui se déroule sur les réseaux et qui peut faire la différence sur de vrais champs de bataille. Début février 2022, peu avant l’invasion de l’Ukraine par les forces russes, des hackers liés à l’unité de renseignement militaire russe 26165, le GRU, sont parvenus progressivement à s’infiltrer au cœur d’une entreprise dont l’activité est considérée comme sensible à Washington (États-Unis). .
Leur objectif : l’espionnage avec la collecte de données par des experts et des projets secrets impliquant l’Ukraine. Le groupe à l’origine de la cyberattaque a été identifié comme étant GruesomeLarch, autrement connu sous le nom d’APT28 (Forest Tempête de neigeTempête de neigeSofacy, Ours Fantaisie). Un groupe de hackers russes inclus Avenir il a déjà évoqué les frasques à de nombreuses reprises. Méticuleuse, la méthode est originale même si laborieuse. Les opérateurs ont fait de petits pas, atteignant leur cible grâce à une succession de réseaux Wi-Fi d’entreprise.
Les éléments de cette opération viennent d’être révélés par la société Volexity, qui a publié son enquête sur le dossier plus de deux ans après l’invasion. L’infiltration n’aurait jamais été détectée si l’entreprise n’avait pas installé un module de détection chez l’un de ses clients. C’est à partir de là que les enquêteurs ont pu élaborer le déroulement de cette attaque sournoise et inédite dans la manière dont elle s’est déroulée.
L’attaque dans le « quartier voisin ».
Pour avancer vers leur objectif, les pirates entrèrent d’abord dans un ordinateurordinateur mal protégé. C’est grâce à cet opérateur qu’ils ont réussi à activer une connexion Wi-Fi. À partir de là, ils ont réussi à se connecter à un autre réseau Wi-Fi dont la sécurité était défaillante. C’est avec ce réseau que le groupe s’est connecté à celui de l’entreprise cible. L’ironie est que ce dernier était simplement situé de l’autre côté de la rue. Autrement dit, les hackers ont progressé lentement mais sûrement à travers les réseaux pour arriver à leur but, ne laissant aucune trace de leur passage.
Volexity a ensuite réussi à neutraliser l’attaque, mais les hackers ont de nouveau attaqué à travers réseaux déjà piratés et aussi en suivant d’autres voies, comme celle d’un VPNVPN corrompu. C’est cette pratique très particulière et avec un objectif clair qui a permis d’attribuer cette attaque au groupe ATP28, dont les méthodes ne peuvent que s’inspirer du Kremlin. L’histoire ne dit pas si les données collectées auraient pu être utiles pour promouvoir les objectifs de guerre de la Russie.
