Le Monde Rejoint la Cyber Guerre à Grande Échelle alors que la Russie Envahit l’Ukraine

ÉCRIT PAR

Vlad Garaschenko

RSSI

[post-views]

mars 02, 2022 · 10 min de lecture

Le Monde Rejoint la Cyber Guerre à Grande Échelle alors que la Russie Envahit l’Ukraine

Table des matières :

Défense Cyber Collaborative : Alimenter la Lutte Contre les Menaces de Toute Échelle

Comme nous le savons tous désormais, le 24 février 2022, la Fédération de Russie a lancé une invasion offensive de l’Ukraine par voie terrestre, aérienne et maritime. Les hostilités se poursuivent maintenant depuis presque une semaine, avec des chars russes pénétrant sur le territoire ukrainien et ses missiles frappant des cibles militaires et civiles à travers le pays. Les attaques ont entraîné de nombreuses victimes et la destruction d’infrastructures et de trésors historiques.

De nombreuses cyberattaques ont également été lancées par des adversaires russes dans le but de paralyser l’infrastructure informatique ukrainienne. Des attaques d’État sont aussi attendues contre la liste étendue des supporters mondiaux de l’Ukraine, puisque de nombreuses nations, organisations mondiales et individus se tiennent unis avec l’Ukraine dans sa lutte contre l’agression non provoquée de la Russie.

Chronologie de la Guerre Cyber Russe

Tandis que l’offensive terrestre par les troupes et missiles russes a été inattendue, la guerre cyber contre l’Ukraine dure depuis presque une décennie.

Escalade des Cyberattaques Offensives Contre l’Infrastructure Ukrainienne

En 2015-2016, le réseau cyber ukrainien a été attaqué à plusieurs reprises par le groupe affilié à la Russie Sandworm APT en utilisant le célèbre malware BlackEnergy. Les attaques ont entraîné des coupures de courant massives à travers le pays, illustrant le premier cas d’une menace cyber causant des dommages significatifs aux ressources des infrastructures critiques et aux actifs opérationnels des installations physiques.

En 2017, le notoire malware NotPetya a été utilisé à nouveau par le groupe Sandworm APT ciblant le secteur financier ukrainien. Cette attaque a finalement créé une crise cyber mondiale avec des millions de systèmes infectés et des milliards de dollars de dommages.

En 2018, la Russie a testé un autre échantillon destructif contre l’infrastructure critique ukrainienne. En particulier, le malware VPNFilter a été utilisé pour attaquer la station de distillation de chlore d’Auly qui fournissait du chlore liquide aux installations de traitement de l’eau et des eaux usées en Ukraine, en Moldavie, et en Biélorussie. Encore une fois, l’objectif était de perturber les actifs d’infrastructure critique, mais la méthodologie d’attaque peut également être utilisée pour cibler de nombreux autres systèmes et opérations mondiaux.

L’escalade des tensions politiques entre l’Ukraine et la Russie a culminé en 2021-2022 alors que les opérations cyber offensives contre l’infrastructure ukrainienne ont gagné en intensité. Dans les mois et semaines précédant l’invasion à grande échelle de février, de nombreux sites web ukrainiens ont été défigurés et mis hors ligne, tandis que de nombreux actifs d’infrastructure gouvernementale ont été compromis par des malwares effaçant des données. Ces cyberattaques soutenues par la Russie visaient à miner la stabilité de ses systèmes et ont créé le chaos parmi la population civile.

Attaque d’Effacement de Données WhisperGate

L’invasion à grande échelle de l’Ukraine en février a d’abord été lancée sur le front cyber. L’agression russe a en fait commencé le 13 janvier 2022 lorsqu’une cyberattaque destructrice a frappé l’Ukraine, mettant à bas l’infrastructure en ligne du gouvernement du pays. Au 17 janvier 2021, jusqu’à 70 sites web ont subi des problèmes de performance temporaires en raison de l’intrusion, y compris le Cabinet, sept ministères, le Trésor, les Services d’Urgence Nationaux, et les services d’État. De plus, plusieurs organisations à but non lucratif et grandes entreprises informatiques ukrainiennes ont également été victimes de l’attaque.

L’analyse par Microsoft a révélé qu’un groupe APT non nommé a utilisé le nouveau malware d’effacement by Microsoft revealed that an unnamed APT group used the novel WhisperGate pour causer des dommages importants à l’infrastructure cyber. Bien que l’attribution ait été initialement incertaine, l’enquête par la CISA américaine la NCSC britannique and , a confirmé que WhisperGate était très probablement développé et déployé par des collectifs de hackers soutenus par le gouvernement russe. L’enquête par les experts de SOC Prime soutient l’attribution suggérée et a de plus identifié que de nombreuses TTPs (techniques, tactiques et procédures) se chevauchent entre les mainteneurs de WhisperGate et le groupe soutenu par la nation russe Sandworm (KillDisk). De plus, les chercheurs de SOC Prime ont observé des schémas WhisperGate qui ressemblaient au comportement malveillant du célèbre malware NotPetya utilisé pour détruire l’infrastructure ukrainienne en 2017., confirmed that WhisperGate was most likely to have been developed and deployed by Russian government-backed hacking collectives. The investigation by SOC Prime experts supports the suggested attribution and further has identified that many TTPs overlap between WhisperGate maintainers and the Russian nation-backed group Sandworm (KillDisk). Moreover, SOC Prime researchers observed WhisperGate patterns that resembled the malicious behavior of the infamous NotPetya malware first used to destroy Ukrainian infrastructure in 2017.

Attaque HermeticWiper

Le 23 février, un jour avant le début d’une guerre européenne à grande échelle, le Microsoft Threat Intelligence Center (MSTIC) a détecté une cyberattaque liée à la Russie contre l’infrastructure numérique de l’Ukraine. Une attaque au malware HermeticWiper a sévèrement touché des organisations clés en Ukraine. Les données actuelles indiquent que des institutions financières et des sous-traitants gouvernementaux en Lettonie et en Lituanie ont également été affectés. Le malware, surnommé HermeticWiper, a été conçu pour effacer ou déformer définitivement les données stockées sur les machines et réseaux ciblés et rendre un appareil infecté inutilisable. Les données de recherche prouvent que les échantillons ont été compilés en décembre 2021, signalant que cette attaque était stratégique et longuement planifiée.

Attaques Trojan FoxBlade

Un avis de sécurité de Microsoft a identifié un nouveau trojan FoxBlade qui a balayé l’Ukraine le 28 février 2022. L’attaque soutenue par la Russie a ciblé des civils ukrainiens ainsi que des organisations et entreprises dans les secteurs bancaire, agricole, énergétique, des services d’intervention d’urgence, et des opérations humanitaires. Le malware a utilisé discrètement les systèmes compromis pour lancer des attaques par déni de service distribué (DDoS) et aussi télécharger et exécuter d’autres applications malveillantes. Les attaques cyber FoxBlade visent à compromettre les actifs et données critiques. Contrairement aux attaques notoires de NotPetya, ce paquet logiciel malveillant a été utilisé pour abattre des segments vitaux d’infrastructure. identified a novel FoxBlade trojan that swept through Ukraine on February 28, 2022. The Russian-backed attack targeted Ukrainian civilians as well as organizations and firms in banking, agriculture, energy, emergency response services, and humanitarian operations. The malware stealthily utilized breached systems to launch distributed denial-of-service (DDoS) attacks and also download and run other malicious applications. FoxBlade cyber assaults aim at compromising critical assets and data. Unlike the notorious NotPetya attacks, this malware package was used to take down vital infrastructure segments.

Chronologie des Cyberattaques Offensives Russes Contre l’Infrastructure Ukrainienne

Les experts en sécurité ont commencé à théoriser que l’Ukraine est un laboratoire géant de test pour les hackers d’État-nation russes pour expérimenter avec des échantillons de programmes malveillants destructeurs et des techniques malveillantes, qui pourraient être exploités pour lancer de futures attaques contre d’autres nations. Étant donné les signes de propagation rapide de l’agression russe, la perspective d’une guerre cyber ciblant l’infrastructure critique d’autres pays pourrait n’être qu’une question de « quand » et non de « si ».

Réponse Mondiale aux Menaces Critiques

Il est également intéressant de mentionner la réponse d’autres collectifs de hackers bien connus comme Anonymous et NB65. Ces organisations ont revendiqué des actions fortes dans le cyberespace pour arrêter la guerre contre l’Ukraine. Leurs actions jusqu’à présent:

Désactivation du Centre de Contrôle de l’Agence Spatiale Russe « Roscosmos »
Mise hors ligne de plus de 1 500 sites Web gouvernementaux russes et biélorusses, organes de presse d’État, banques, et entreprises
Publication des données du groupe de ransomware Conti lié à la Russie
Violation de la base de données du Ministère de la Défense Russe
Pirate des sites de médias de propagande russe TASS, Izvestia, Fontanka, RBC, et Kommersant

L’invasion de l’Ukraine a déclenché une réponse immédiate et impressionnante de la communauté cyber mondiale. Le Vice-premier ministre de l’Ukraine et ministre de la Transformation numérique, Mykhailo Fedorov, a lancé un collectif cyber bénévole qui inclut plus de 175 000 abonnés et constitue ce qui peut être considéré comme une partie critique de l’Armée informatique de l’Ukraine. Les contributeurs ont engagé des cyberattaques par déni de service ciblant les sites web du gouvernement russe, des banques, et des entreprises énergétiques. À partir du 27 février, l’Armée informatique a également ciblé des sites Web enregistrés en Biélorussie qui soutenaient la Russie dans la guerre cyber.

L’engagement cyber anti-guerre de lutte contre l’agression russe augmente chaque jour. Il semble maintenant que chacun avec un appareil le transforme en arme de DDoS.

Tandis que les troupes ukrainiennes résistent en première ligne de l’invasion russe, elles ont besoin de tout le soutien qu’elles peuvent obtenir maintenant. Plus d’individus peuvent s’unir pour aider. Voici les liens vers les organisations caritatives officielles qui aident les Forces armées ukrainiennes, les civils vivant dans les zones de guerre, et les personnes blessées.

Des informations actuelles et précises sur la guerre en Ukraine sont disponibles auprès des sources de confiance ci-dessous:

Anglais: https://t.me/ukrainenowenglish
Allemand: https://t.me/UkraineNowGerman
Français: https://t.me/UkraineNowFrench
Italien: https://t.me/UkraineNowItalian
Espagnol: https://t.me/UkraineNowSpanish
Polonais: https://t.me/UkraineNowPoland
Tchèque: https://t.me/ukrainenowczech
Turc: https://t.me/UkraineNowTurkish

La Puissance de la Défense Cyber Collaborative

En ces temps turbulents, la puissance du crowdsourcing et de la collaboration mondiale offre un avantage concurrentiel sur les attaquants. Aucune entreprise individuelle n’est capable de mobiliser une réserve de talents équivalente, capable de résister à des cyberattaques de cette ampleur. Ensemble, soutenus par nos initiatives de crowdsourcing et la norme open source Sigma, les organisations peuvent accélérer la défense cyber en fournissant du contenu de détection pour identifier de nouvelles attaques innovantes comme celles déployées par la Russie. Ce n’est que tous ensemble que nous pouvons espérer réussir à combattre le mal sur tous les fronts.

SOC Prime débloque l’accès à la liste complète des détections gratuites basées sur Sigma pour défendre votre infrastructure contre les attaques numériques soutenues par la Russie. Pour accéder au contenu de détection dédié, inscrivez-vous ou connectez-vous à la plateforme SOC Prime et recherchez instantanément les menaces dans votre environnement en utilisant le module Quick Hunt:

Requêtes de recherche de menaces gratuites pour se défendre proactivement contre les cyberattaques soutenues par la Russie

Rejoignez la Plateforme SOC Prime pour devenir partie de la plus grande communauté mondiale de défenseurs cyber et nous aider à transformer la détection des menaces dans le monde entier. Les chercheurs en cybersécurité et les contributeurs de contenu du monde entier sont fortement encouragés à contribuer à la défense cyber collaborative en créant du contenu de détection pour rejoindre la lutte contre les menaces actuelles et évolutives.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Avr 24/2025 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore

Fév 11/2025 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko

Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes

Fév 5/2025 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko

Toutes les actualités

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

Le Monde Rejoint la Cyber Guerre à Grande Échelle alors que la Russie Envahit l’Ukraine

Défense Cyber Collaborative : Alimenter la Lutte Contre les Menaces de Toute Échelle

Chronologie de la Guerre Cyber Russe

Escalade des Cyberattaques Offensives Contre l’Infrastructure Ukrainienne