Alors que les membres et les partenaires de l’Organisation du traité de l’Atlantique Nord (OTAN) se réunissent pour un sommet historique, les experts de Mandiant – Cyber Threat Intelligence de Google – font le point sur l’un des défis les plus pressants de l’Alliance : la cybermenace.
- Expertise de Mandiant, proposée à DCmag le 8 juillet 2024
L’Alliance est confrontée à un déluge de cyberactivités malveillantes provenant du monde entier, menées par des acteurs parrainés par des États, des hacktivistes et des criminels enhardis qui sont prêts à franchir les lignes et à mener des activités qui étaient auparavant considérées comme improbables ou inconcevables. Outre les cibles militaires, l’OTAN doit prendre en compte les risques que les menaces hybrides, telles que les cyberactivités malveillantes, font peser sur les hôpitaux, la société civile et d’autres cibles, ce qui pourrait avoir une incidence sur la résilience en cas de situation d’urgence. La guerre en Ukraine est sans aucun doute liée à l’escalade des cybermenaces, mais nombre de ces menaces continueront à se développer séparément et en parallèle.
L’OTAN doit faire face à des cyberacteurs clandestins et agressifs qui cherchent à recueillir des renseignements, se préparent à attaquer des infrastructures critiques ou sont en train de le faire, et s’efforcent d’affaiblir l’Alliance au moyen de plans de désinformation élaborés. Afin de protéger ses clients, Google suit de près les cybermenaces, y compris celles mises en évidence dans le présent rapport, mais il ne s’agit là que d’un aperçu d’un paysage beaucoup plus vaste et en constante évolution.
Le cyberespionnage
Les adversaires de l’OTAN cherchent depuis longtemps à tirer parti du cyberespionnage pour mieux comprendre les dispositions politiques, diplomatiques et militaires de l’Alliance, et pour voler ses technologies de défense et ses secrets économiques. Toutefois, dans les mois à venir, le renseignement sur l’Alliance revêtira une importance accrue.
Le sommet de cette année est une période de transition, avec la nomination de Mark Rutte en tant que nouveau secrétaire général et un certain nombre d’adaptations qui devraient être mises en œuvre pour renforcer le dispositif de défense de l’Alliance et son soutien à long terme à l’Ukraine. Un cyberespionnage réussi de la part d’acteurs menaçants pourrait potentiellement compromettre l’avantage stratégique de l’Alliance et informer les dirigeants de l’adversaire sur la manière d’anticiper et de contrecarrer les initiatives et les investissements de l’OTAN.
L’OTAN est la cible d’activités de cyberespionnage menées par des acteurs du monde entier dont les capacités varient. Nombre d’entre eux s’appuient encore sur des méthodes simples sur le plan technique mais efficaces sur le plan opérationnel, comme l’ingénierie sociale. D’autres ont évolué et élevé leur savoir-faire à des niveaux qui en font des adversaires redoutables, même pour les défenseurs les plus expérimentés.
- APT29 (ICECAP)
Attribué publiquement aux services de renseignement extérieur russes (SVR) par plusieurs gouvernements, APT29 se concentre fortement sur la collecte de renseignements diplomatiques et politiques, en ciblant principalement l’Europe et les États membres de l’OTAN. APT29 a été impliqué dans de nombreuses violations très médiatisées d’entreprises technologiques conçues pour fournir un accès au secteur public. Au cours de l’année écoulée, Mandiant a observé qu’APT29 ciblait des entreprises technologiques et des fournisseurs de services informatiques dans les pays membres de l’OTAN afin de faciliter la compromission de tierces parties et de la chaîne d’approvisionnement en logiciels des organisations gouvernementales et politiques.
APT29 a également une longue expérience des campagnes de spear-phishing contre les membres de l’OTAN, en particulier contre les entités diplomatiques. L’acteur a réussi à pénétrer dans des agences exécutives à travers l’Europe et les États-Unis à plusieurs reprises. Nous l’avons également vu cibler activement des partis politiques en Allemagne et aux États-Unis dans le but probable de recueillir des renseignements sur la future politique gouvernementale.
- Le cyberespionnage en provenance de Chine
Les activités de cyberespionnage menées par la Chine ont considérablement évolué ces dern+ières années, passant d’opérations bruyantes et facilement identifiables à des opérations plus furtives. Les investissements techniques ont amplifié le défi pour les défenseurs et renforcé les campagnes réussies contre des cibles gouvernementales, militaires et économiques dans les États membres de l’OTAN.
Le cyberespionnage chinois fait de plus en plus appel à des techniques telles que :
- Le ciblage de la périphérie du réseau et l’exploitation des vulnérabilités du jour zéro dans les dispositifs de sécurité et autres infrastructures de réseau orientées vers l’internet, afin de réduire les possibilités de détection des défenseurs. En s’appuyant moins sur l’ingénierie sociale, ces opérateurs ont réduit la probabilité d’être identifiés par les utilisateurs ou les contrôles associés. En 2023, ces acteurs ont exploité 12 « zero-days » (vulnérabilités logicielles ou matérielles inconnues du fournisseur, sans correctif disponible, et qui peuvent être exploitées avant d’être résolues), dont la plupart se trouvaient dans des produits de sécurité situés à la périphérie du réseau. Ces produits n’ont souvent pas la capacité de détecter les points d’extrémité, ce qui en fait une tête de pont idéale dans les réseaux compromis.
- L’utilisation de réseaux de relais opérationnels (ORB) pour dissimuler l’origine du trafic malveillant. Les acteurs de la menace dissimulent leur trafic malveillant par le biais de proxys, qui servent d’intermédiaires entre eux et l’internet, mais ces proxys peuvent être suivis de manière fiable. Les acteurs tirent désormais parti de vastes réseaux éphémères de proxys ORB partagés et compromis. Ces réseaux sont très difficiles à suivre et compliquent la capacité des défenseurs à partager des renseignements sur l’infrastructure.
- Vivre de la terre pour réduire les possibilités de détection des défenseurs. Certains acteurs renoncent à l’utilisation de logiciels malveillants et tirent parti d’autres méthodes pour mener des intrusions. Ces techniques utilisent des outils, des caractéristiques et des fonctions légitimes disponibles dans le système pour traverser les réseaux et mener des activités malveillantes. Les défenseurs sont fortement désavantagés s’ils ne sont pas en mesure de détecter les logiciels malveillants et sont moins à même de partager des informations sur les activités connexes.
Les acteurs chinois ne sont pas les seuls à exploiter ces techniques. Des acteurs russes tels que APT29, APT28 et APT44 les ont également utilisées.
Cyberattaques perturbatrices et destructrices
Les cyberattaques perturbatrices et destructrices se multiplient et ont des conséquences directes et indirectes sur l’alliance de l’OTAN. Ces dernières années, les acteurs étatiques iraniens et russes ont montré leur volonté de mener ces attaques contre les membres de l’OTAN, même s’ils se cachent derrière de fausses façades qui s’attribuent publiquement le mérite des opérations. Par exemple, Mandiant a décrit une attaque destructrice de 2022 contre le gouvernement albanais, pour laquelle un groupe hacktiviste présumé appelé « HomeLand Justice » a revendiqué le mérite, bien que le gouvernement américain ait finalement attribué l’attaque à des acteurs iraniens.
Les acteurs étatiques compromettent également les infrastructures critiques des membres de l’OTAN en prévision de futures perturbations, alors même qu’ils démontrent leur capacité à mener des attaques complexes contre des systèmes technologiques opérationnels hautement sensibles en Ukraine. Cette activité prouve que ces acteurs ont les moyens et la motivation nécessaires pour perturber les infrastructures critiques de l’OTAN.
Outre les cyberattaques menées par des acteurs étatiques, les perturbations causées par des hacktivistes et des acteurs criminels ne sont plus une nuisance que l’on peut facilement ignorer. La résurgence mondiale des hacktivistes a conduit à d’importantes attaques contre les secteurs public et privé, et les activités criminelles sont devenues si dévastatrices qu’elles sont devenues un sujet de préoccupation pour la sécurité nationale.
- APT44 (Sandworm, FROZENBARENTS)
APT44 a été impliqué dans bon nombre des cyberattaques perturbatrices les plus médiatisées au monde, notamment l’attaque destructrice mondiale NotPetya, les attaques contre les Jeux olympiques de Pyeongchang et plusieurs pannes d’électricité en Ukraine. L’acteur, qui est lié au renseignement militaire russe, a mené des perturbations techniquement complexes de technologies opérationnelles sensibles ainsi que des attaques destructrices aux effets étendus. La majorité des attaques perturbatrices menées en Ukraine ont été attribuées à APT44, et l’acteur a été associé à des attaques limitées dans des pays de l’OTAN depuis le début de la guerre.
En octobre 2022, un acteur supposé être APT44 a déployé le ransomware PRESSTEA (alias Prestige) contre des entités logistiques en Pologne et en Ukraine. Le ransomware n’a pas pu être déverrouillé et a effectivement agi comme une attaque destructrice ; l’activité pourrait avoir été conçue pour signaler la capacité du groupe à menacer les lignes d’approvisionnement acheminant l’aide létale vers l’Ukraine. Par cette opération, APT44 a montré sa volonté d’utiliser intentionnellement une capacité de perturbation contre un pays membre de l’OTAN, ce qui reflète le penchant du groupe pour la prise de risque.
- Hacktivistes
La résurgence mondiale du piratage informatique à motivation politique, ou hacktivisme, est largement liée à des événements géopolitiques tels que l’invasion de l’Ukraine par la Russie. Malgré une forte concentration sur les États membres de l’OTAN, ces acteurs ont eu des effets irréguliers. De nombreuses opérations ne parviennent pas à provoquer des perturbations durables et sont en fin de compte conçues pour attirer l’attention et créer une fausse impression d’insécurité.
Malgré leurs limites, ces acteurs ne peuvent être complètement ignorés. Leurs attaques attirent régulièrement l’attention des médias dans les pays cibles et leurs méthodes peuvent avoir de graves conséquences si les circonstances s’y prêtent. Les attaques par déni de service distribué (DDOS), l’une de leurs méthodes préférées, sont relativement superficielles, mais pourraient être mises à profit lors d’événements tels que des élections pour avoir plus d’impact. En outre, certains hacktivistes, comme le groupe pro-russe Cyber Army Russia Reborn (CARR), expérimentent des attaques plus importantes contre des infrastructures critiques. CARR, qui entretient des liens troubles avec APT44, a perturbé l’approvisionnement en eau d’installations américaines, polonaises et françaises au cours d’une série d’incidents simples mais audacieux.
- Les cybercriminels
Les perturbations causées par les ransomwares pour des raisons financières ont déjà de graves conséquences sur les infrastructures essentielles des pays de l’OTAN, entraînant des interruptions de soins dans les hôpitaux, des pénuries d’énergie et des pannes de services publics. Si certains criminels ont juré d’éviter de s’en prendre à ces infrastructures essentielles, nombreux sont ceux qui ne se laissent pas décourager. Les établissements de santé aux États-Unis et en Europe ont été à maintes reprises la cible de criminels russophones à la recherche de gains financiers et d’acteurs étatiques nord-coréens désireux de financer leurs activités d’espionnage. La capacité de ces acteurs à opérer à partir de juridictions où la répression de la cybercriminalité ou les accords d’extradition sont laxistes, associée à la nature lucrative des attaques par ransomware, laisse penser que cette menace continuera à s’intensifier dans un avenir proche.
Désinformation et opérations d’information
Les opérations d’information sont devenues une caractéristique constante de l’activité des cybermenaces au cours de la dernière décennie, augmentant régulièrement à mesure que les conflits et les tensions géopolitiques s’intensifiaient. Ces opérations englobent un large éventail de tactiques, allant de la manipulation des médias sociaux par des « fermes à trolls » à des schémas complexes impliquant des intrusions dans les réseaux. Les opérations d’information de la Russie et du Bélarus ont particulièrement ciblé les États membres de l’OTAN, visant principalement à saper l’unité et les objectifs de l’Alliance.
Certains acteurs du cyberespionnage qui se concentrent principalement sur la collecte secrète de renseignements se livrent également à des opérations d’information. Des groupes comme APT28 et COLDRIVER ont publiquement exploité des informations volées dans le cadre de campagnes de piratage et de fuite, tandis que d’autres acteurs, comme UNC1151, ont utilisé leurs capacités d’intrusion dans le cadre d’autres opérations d’information complexes. Ces efforts visent à manipuler l’opinion publique, à semer la discorde et à faire avancer les programmes politiques par la diffusion d’informations fausses et trompeuses.
Chez Google, nous avons déployé des efforts considérables au niveau des produits, des équipes et des régions pour contrer ces activités lorsqu’elles enfreignent nos règles et pour perturber les campagnes d’opérations d’information manifestes et secrètes. Parmi les exemples de ces mesures, citons la perturbation des chaînes YouTube, des blogs, des comptes AdSense et des domaines retirés des surfaces Google News, comme nous le signalons tous les trimestres dans le bulletin TAG.
- Les opérations d’information de Prigozhin survivent
Malgré la mort de leur commanditaire, les vestiges de l’empire de désinformation de l’homme d’affaires russe décédé Evgeniy Prigozhin fonctionnent toujours , bien que de manière beaucoup moins efficace. Ces campagnes survivantes continuent de promouvoir la désinformation et d’autres récits pro-russes sur de multiples plateformes de médias sociaux, plus récemment en mettant l’accent sur les plateformes alternatives, dans de nombreuses régions.
Les récits propagés par ces opérations appellent au démantèlement de l’OTAN et laissent entendre que l’Alliance est une source d’instabilité mondiale. Ils critiquent également les dirigeants des États membres de l’OTAN. Des développements géopolitiques majeurs, tels que le lancement de l’invasion à grande échelle de l’Ukraine par la Russie en 2022 et d’autres priorités stratégiques russes, influencent de manière significative le contenu promu par ces campagnes. Le soutien continu de l’OTAN et de ses États membres à l’Ukraine a fait de l’Alliance une cible privilégiée, à la fois directement et indirectement, en raison de son implication dans des questions perçues comme contraires aux intérêts stratégiques de la Russie.
- Ghostwriter/UNC1151
La campagne d’opérations d’information Ghostwriter, au moins partiellement liée au Bélarus, est active depuis au moins 2016 et vise principalement les voisins du Bélarus : Lituanie, Lettonie, Pologne et, dans une moindre mesure, Ukraine. La campagne bénéficie du soutien technique de l’UNC1151, un groupe de cyberespionnage connu pour ses activités malveillantes. Ghostwriter, notoirement connu pour ses opérations d’influence cybernétiques, a toujours donné la priorité à la promotion de récits hostiles à l’OTAN. En avril 2020, par exemple, une opération de Ghostwriter a prétendu à tort que les troupes de l’OTAN étaient responsables de l’introduction du COVID-19 en Lettonie.
Les activités de Ghostwriter ont cherché à saper les gouvernements régionaux et leur coopération en matière de sécurité. Il s’agit notamment d’opérations qui se sont appuyées sur les comptes de médias sociaux compromis de personnalités polonaises pour promouvoir des contenus visant à ternir la réputation d’hommes politiques polonais, notamment par la diffusion de photos potentiellement compromettantes. Depuis 2022, les opérations observées de Ghostwriter ont maintenu ces objectifs de campagne établis tout en élargissant les récits pour y inclure l’invasion russe. En avril 2023, par exemple, une opération de Ghostwriter a prétendu que la Pologne et la Lituanie recrutaient leurs résidents pour qu’ils rejoignent une brigade multinationale qui se déploierait en Ukraine.
- COLDRIVER
COLDRIVER est un acteur russe du cyberespionnage qui a été publiquement lié à l’agence de renseignement russe, le Service fédéral de sécurité (FSB). Cet acteur mène régulièrement des campagnes d’hameçonnage d’informations d’identification à l’encontre de personnalités éminentes d’organisations non gouvernementales (ONG) ainsi que d’anciens officiers des services de renseignement et de l’armée. Les informations dérobées par COLDRIVER dans les boîtes aux lettres des victimes ont notamment été utilisées dans le cadre d’opérations de piratage et de fuite. Les informations volées par COLDRIVER ont été divulguées en 2022 dans le but d’exacerber les divisions politiques liées au Brexit au Royaume-Uni. Avant cet incident, l’acteur avait divulgué des détails sur les accords commerciaux entre les États-Unis et le Royaume-Uni avant les élections britanniques de 2019. COLDRIVER cible principalement les pays de l’OTAN et a changé de cible en 2022 pour inclure le gouvernement ukrainien et les organisations soutenant la guerre en Ukraine. En mars 2022 , les campagnes de COLDRIVER ont également ciblé pour la première fois les forces armées de plusieurs pays européens ainsi qu’un centre d’excellence de l’OTAN.
Perspectives
Contrairement à de nombreux autres domaines de conflit, le cyberespace se caractérise par une activité agressive qui persiste indépendamment d’un état de conflit armé. Néanmoins, la géopolitique est un moteur important de cette activité. Il est significatif que l’invasion de l’Ukraine par la Russie ait coïncidé avec une cyberactivité plus audacieuse et téméraire contre les alliés de l’OTAN. Il est peu probable que ces menaces s’atténuent dans un avenir proche.
Les effets de la cyberactivité malveillante sont vastes ; les cybermenaces sont susceptibles d’affecter les alliés et les partenaires de l’OTAN, depuis l’arène politico-militaire jusqu’aux fondements économiques et sociétaux de l’Alliance. Pour contrer ces menaces, comme pour tout ce que fait l’OTAN, il faut un engagement collectif en faveur de la défense. L’OTAN doit s’appuyer sur la collaboration avec le secteur privé de la même manière qu’elle s’appuie sur la force de ses membres constitutifs. En outre, elle doit exploiter son plus grand avantage contre les cybermenaces – la capacité technologique du secteur privé – pour prendre l’initiative dans le cyberespace face aux adversaires de l’OTAN.