Le Groupe d’analyse des menaces (TAG) de Google a publié un rapport le 19 juillet sur une application pro-ukrainienne suspecte. Elle se présente comme un moyen de lancer des cyberattaques contre des sites russes, mais serait un paravent pour le FSB, le service de renseignement intérieur russe, pour placer des virus sur les appareils de ses utilisateurs.

CyberAzov, le pétard mouillé russe

Depuis le début de l’invasion de l’Ukraine par la Russie en fin février, les autorités ukrainiennes encouragent les internautes de bonnes volontés à s’en prendre au web russe. En ce sens elles ont validé la création d’une « IT Army », pour coordonner des attaques avec des personnes plus ou moins amatrices.

L’une des principales armes de cette armée du cyberespace sont les attaques par déni de service (DDoS). Elles consistent à surcharger de requêtes un site visé pour le mettre hors ligne.

C’est le service proposé par CyberAzov. Cette application reprend le nom d’un régiment ukrainien aussi célèbre que controversé pour son affiliation à l’extrême droite. Elle propose d’envoyer simplement des requêtes en continu vers une liste de sites russes.

Selon Google, CyberAzov s’inspire directement d’une autre application, stopwar.apk apparue en mars 2022. Toutes deux sont distribuées non pas sur le Play Store, mais sur des sites dédiés ou des messageries. En réalité, si stopwar.apk semble avoir été développée par d’authentique pro-ukrainien, ce n’est pas le cas de CyberAzov.

site de DDoS ukrainien

La page de garde du site DDoS authentiquement pro-ukrainien. Image : Google

Faux site de DDoS ukrainien

La page de garde du site créé de toutes pièces par le FSB, avec l'iconographie du régiment Azov. Image : Google

Véritable pétard mouillé, l’application n’envoie qu’une seule requête par site cible, largement insuffisant pour une attaque DDoS. En revanche le service serait un authentique cheval de Troie pour infiltrer les appareils sur lesquels elle est installée. The Verge rapporte que le site distribuant l’application était toujours en fonction le 19 juillet.

Le TAG estime qu’elle est l’œuvre de Turla. Ce groupe connu sous divers noms, Krypton, Venomous Bear, Waterbug et Uroburos, serait affilié au FSB. Il aurait déjà compromis des organisations européennes et américaines par le passé, mais selon Google « Il s'agit du premier cas connu de distribution par Turla de logiciels malveillants liés à Android ».

Les attaques dans le cyberespace perdurent en marge de la guerre en Ukraine

La portée des dégâts de CyberAzov serait minime à en croire Google, « Nous pensons qu'il n'y a pas eu d'impact majeur sur les utilisateurs d'Android et que le nombre d'installations a été minuscule ». Depuis le début et avant la guerre, la Russie multiplie les cyberattaques, pour saboter, espionner ou déstabiliser l’Ukraine.

Dans le même rapport, le TAG de l’entreprise américaine a détecté ou confirmé d’autres attaques rapportées par le CERT-UA, en charge de la réponse aux cyberincidents en Ukraine.

Parmi elles, l’exploitation d’une faille de Windows, nommée Folline. Deux groupes connus pour être affiliés au GRU, les services de renseignements de l’armée russe, APT28 et Sandworm, utilisent des comptes gouvernementaux compromis pour envoyer des documents Microsoft Offices piégés à des médias ukrainiens.

Il y a également des tentatives d’hameçonnage et autres opérations menées par d’autres groupes ne dépendant pas nécessairement officiellement du Kremlin, comme l’Internet Research Agency, mieux connu sous le surnom de l’Usine à Troll. Alors que les combats font rage dans la région du Donbass, à l’est de l’Ukraine, les tentatives de déstabilisations russes dans le cyberespace ukrainien continuent.