Dans un rapport publié ce 23 septembre, Mandiant dévoile les liens probables entre trois groupes d’hacktivistes prétendument indépendants et Moscou. Les experts en cybersécurité de la société américaine estiment avoir repéré des indices révélateurs de collaboration entre ces groupes et le GRU, le renseignement militaire russe.

Les groupes d’hacktivistes fourmillent depuis le début de la guerre en Ukraine

La guerre en Ukraine a donné lieu à de nombreuses cyberattaques, un niveau jamais observé selon Mandiant. La société, récemment rachetée par Google, semble presque étonnée par « une telle variété d’acteurs de menaces et une telle coordination des efforts ».

Un nombre important de groupes d’hacktivistes s’est formé, pro-russe comme pro-ukrainien pour porter la voix de leur camp. Certains, côté russe, ne sont pas simplement nés d’un élan patriote à en croire Mandiant, « Bien qu’il soit presque certain que certains de ces acteurs opèrent indépendamment de l’État russe, nous avons identifié de nombreux groupes dits hacktivistes dont nous soupçonnons les modérateurs de servir de couverture à l’État russe ou d’opérer en coordination avec lui ».

Trois ont été spécifiquement identifiés. Ils se sont formés autour de pages Telegram, XakNet Team, après la « déclaration de guerre » d’Anonymous à la Russie, Infoccentr et CyberArmyofRussia_Reborn, actif ou repéré en mars, avril.

Ces groupes mènent des attaques plus ou moins perfectionnées, essentiellement par déni de service (DDoS). XakNet Team aurait participé au piratage d’un média ukrainien, ayant diffusé, en mars, une fausse annonce de capitulation du président ukrainien Volodymyr Zelensky.

Ce qui a surtout interloqué les chercheurs en cybersécurité, c’est une autre de leur activité, la diffusion d’informations tirées de cyberattaques. Ils ont constaté que les hacktivistes publiaient des données récupérées lors d’intrusion en moins de 24 heures.

Dans quatre cas, elles ont suivi l’installation de logiciel Wiper, malveillant, ils servent à effacer le réseau de la victime et perturber son fonctionnement. Leur utilisation a été documentée au début du conflit.

Les trois pages d’hacktivistes étaient particulièrement réactives après les attaques d’un groupe, surnommé APT 28. Mandiant affirme même avoir découvert dans les documents de XakNet Team un « artefact technique unique provenant d’une intrusion d’APT28 ». Évidemment, APT 28 est réputé lier au GRU.

Des groupes bien pratiques pour les renseignements russes

Mandiant, prudent, explique ne pas détenir de preuve irréfutable, « nous estimons avec une confiance modérée que les modérateurs respectivement derrière XakNet Team, Infoccentr et CyberArmyofRussia_Reborn sont au moins coordonnés avec le GRU, nous réservons actuellement notre juge ment quant à la composition de ces groupes et leur degré exact d’affiliation avec le GRU ».

Les groupes d’hacktivistes pro-russes sont actifs de très longues dates. Le Wall Street Journal, rappelle une large cyberoffensive menée contre l’Estonie, après le retrait d’une statue soviétique de la capitale, Tallinn en 2007. Un groupe, KillNet y aurait participé, il est réputé proche de XakNet Team.

Ces groupes sont pratiques pour le Kremlin. Indépendants, ils servent ses intérêts, le récit du pouvoir russe. Manipulés, plus ou moins orientés par les services de renseignement, ils représentent une couverture idéale pour nier toute implication en cas de complication.