La vidéo commence dans le style Anonymous typique, avec du texte rendu en 3D et des masques granuleux de Guy Fawkes scintillant sur des images de manifestations de rue.
« Salutations, monde ! Nous sommes anonymes », dit une voix déformée. « Nous voyons les nuages de la guerre… et cela nous met en colère. »
Cette vidéo, téléchargée sur YouTube et partagée avec les 7,8 millions d’abonnés de @YourAnonNews sur Twitter, a été citée comme le moment où Anonymous « a déclaré la guerre à la Russie ». Il s’agit d’une affirmation trompeuse, car Anonymous est moins une armée permanente qu’un hacktiviste à usage général. nom de guerre, mais le mouvement était encore important. De nombreux internautes se préparaient à créer des ennuis à la Russie – et ils voulaient le faire sous le couvert d’Anonymous.
Beaucoup s’attendaient à une cyber-offensive plus organisée de la part de la Russie, mais pour des raisons insaisissables, elle ne s’est pas concrétisée. La réalité était plus chaotique, avec peu de surveillance ou de coordination. Ces incidents mineurs sont plus favorables à l’Ukraine, mais sont aussi qualitativement différents d’opérations militaires comme Stuxnet ou Sandworm. Et alors que la guerre conventionnelle continue de ravager l’Ukraine, la campagne Anonymous se déroule discrètement en arrière-plan, avec des conséquences difficiles à prévoir.
Le 26 février, le vice-Premier ministre ukrainien Mykhailo Fedorov – qui est également ministre de la transformation numérique – a annoncé la création d’une cyber-armée dirigée par des volontaires qui solliciterait l’aide de tous les informaticiens qualifiés pour participer à une série de projets numériques à prendre participer aux actions contre la Russie.
Les cybervolontaires innovaient déjà. Coordonné via un canal Telegram comptant actuellement plus de 300 000 utilisateurs, l’adhésion à la soi-disant «IT Army» était à la fois distribuée à l’échelle mondiale et dirigée de manière centralisée, traçant une nouvelle ligne entre l’activisme numérique décentralisé et le piratage parrainé par l’État. Mais alors que l’armée informatique a inauguré une nouvelle sorte de cyberguerre, #OpRussia d’Anonymous représentait une tendance différente, tout à fait plus chaotique.
L’armée informatique s’est fortement appuyée sur les attaques DDoS – lancées contre des cibles telles que les sociétés gazières, pétrolières et d’infrastructure, la Bourse de Moscou et même le site Web du Kremlin à l’aide d’une application appelée disBalancer – mais les actions les plus efficaces ont été le vol de données et la publication. cela au public. Dans un cas, des groupes opérant sous les noms Anonymous Liberland et Pwn-Bear Hack Team ont reçu plus de 200 Go d’e-mails du fabricant d’armes de défense biélorusse Tetraedr, qui ont été mis à disposition via le site Web Distributed Denial of Secrets leak.
Lors d’un autre incident, un groupe de pirates informatiques a pénétré par effraction sur un site Web de l’Institut de recherche spatiale russe et a publié en ligne des fichiers qui semblaient contenir des descriptions de missions lunaires. Quelques jours plus tôt, un autre groupe appelé Against The West (ATW) – précédemment connu pour avoir divulgué des données du Parti communiste chinois – a publié une pléthore de fichiers prétendument provenant de la société d’énergie PromEngineeringy compris les plans de la centrale électrique et les schémas de circuit.
La dernière fuite majeure s’est produite le 10 mars, lorsque Distributed Denial of Secrets a publié plus de 800 Go de données divulguées de Roskomnadzor : le Service fédéral de surveillance des communications, des technologies de l’information et des médias de masse, ou la principale agence de censure de Russie. Si l’acteur qui a obtenu les données n’est pas encore inconnu, la nature des fuites est pour le moins très gênante pour Roskomnadzor et potentiellement plus dommageable selon les informations exactes diffusées.
Dans une tentative de battre la Russie, des groupes hacktivistes alliés à l’Ukraine ont effectivement divulgué toutes les informations sensibles qu’ils pouvaient trouver contre des cibles russes. Mais une fois que ces informations sont publiées, elles sont difficiles à contenir – et il peut y avoir des conséquences imprévues. DarkOwl, une société de renseignement sur le dark web, est une organisation qui a blogué sur les fuites de données liées à l’invasion de l’Ukraine. Un analyste de DarkOwl a déclaré Le bord que les informations contenues dans les fuites d’entreprises pourraient être précieuses pour des campagnes de harponnage ou de surveillance, en particulier pour les acteurs les plus expérimentés.
« Vous avez ici des informations confidentielles sur l’entreprise. Vous savez, vous avez des adresses de livraison et des numéros de compte et des choses comme ça », a déclaré l’analyste. « Il y a aussi des photos et des captures d’écran qui ont été prises. Comme nous l’avons vu, cela peut être utilisé par un acteur de l’État-nation pour des activités d’espionnage plus stratégiques à l’avenir.
Mais bon nombre des fuites contiennent également de grandes quantités d’informations sur les clients des entreprises, dont la plupart sont des Russes ordinaires ayant peu de liens avec les intérêts de l’élite qui ont mené la guerre. Cette information pourrait les mettre en danger ultérieurement.
« Cette série d’actions que nous voyons en ce moment vise essentiellement à détruire et à créer autant de chaos que possible », déclare Jeremiah Fowler, un chercheur américain en cybersécurité basé en Ukraine. « Mais si les noms, les informations d’identification des utilisateurs, les informations de crédit et tout cela sont disponibles à long terme, vous savez que nous n’avons aucune idée de ce qu’ils vont en faire. » Malheureusement, il y a tellement de colère à propos de tout cela que de nombreux Russes innocents pourraient être ciblés par défaut. »
La nature vaguement coordonnée, parfois amateur, du soutien des hacktivistes à l’Ukraine a également rendu plus difficile la vérification exacte de ce qui se passe à un moment donné. Certaines actions anonymes très médiatisées étaient manifestement fausses : dans un exemple, une chaîne d’information anonyme a affirmé qu’un groupe affilié l’avait fait fermer le système de contrôle principal des satellites russes; Dans un autre cas, démystifié par la société de cybersécurité Check Point, un groupe prétendant avoir piraté des caméras de surveillance dans une centrale nucléaire a été retrouvé en train de réutiliser des images vieilles de plusieurs années de YouTube.
D’autres hacks plausibles ont été difficiles à confirmer. Le 26 février, certains utilisateurs de médias sociaux ont partagé des images qui auraient montré des chaînes de télévision russes piratées pour diffuser des messages pro-ukrainiens et informer les observateurs de la vérité sur l’invasion de l’Ukraine. (Les médias d’information en Russie sont fortement censurés, d’autant plus après que Poutine a signé une loi sur les « fausses nouvelles » menaçant jusqu’à 15 ans de prison toute personne qui diffuse des informations non autorisées sur les victimes de guerre russes.)
Fowler dit que son partenaire de recherche a directement observé une émission de télévision russe détournée et qu’il est possible que cela se soit produit plusieurs fois. Fowler a déclaré qu’en faisant des recherches sur les agences de médias russes, il est tombé sur des systèmes de fichiers non sécurisés et que quelqu’un ayant les compétences techniques pour les repérer pourrait facilement modifier les images diffusées :
« Supposons que vous disposiez d’un accès administratif », a déclaré Fowler. « Vous faites une vidéo de quelque chose de cette nature horrible [war] Images que nous voyons et que vous appelez de la même manière que le matériel source. Ainsi, la prochaine fois que le logiciel s’appuiera sur cette source, le public verra autre chose au lieu de recevoir les informations qu’il fournit. Et le système ne sait rien de différent car le fichier porte le même nom. »
Quelqu’un a piraté les chaînes de télévision d’État russes. Ils représentent la musique ukrainienne et les symboles nationaux.
Les internautes soupçonnent qu’il pourrait s’agir d’une autre action du groupe de hackers #Anonymeque la Russie a déclaré dans le cadre de l’attaque d’une cyberguerre #Ukraine. pic.twitter.com/XaoclymVTs
– BARIL ✌️ (@beczka_tv) 26 février 2022
Fowler a déclaré qu’il avait également vu des preuves que de nombreuses bases de données d’entreprises russes étaient consultées par des étrangers, avec des données effacées ou des fichiers réécrits en masse pour dire « Poutine arrête cette guerre » – dans la mesure où dans un échantillon de 100 bases de données accessibles au public, 92 semble avoir été trafiqué. Beaucoup de ces bases de données contenaient des noms, des détails de compte et d’autres informations d’identification personnelle, a déclaré Fowler ; et il n’y a aucun moyen de savoir exactement qui y a eu accès.
Certaines personnes qui agissent maintenant en tant que « cyber-patriotes » soutenant l’Ukraine pourraient également être impliquées dans des activités criminelles, a déclaré Jon Clay, vice-président du renseignement sur les menaces chez Trend Micro – et les systèmes informatiques compromis maintenant en signe de protestation pourraient plus tard être utilisés pour des profits financiers sont exploités.
« Beaucoup de ces cyber-patriotes pourraient faire partie d’un groupe cybercriminel », a déclaré Clay. « Donc, vous obtenez une couverture de l’État-nation pour cibler ces autres groupes ou agences dans un autre pays. Et c’est là qu’il sera difficile de tracer la ligne, car ils peuvent très rapidement passer à la simple activation de la composante cybercriminalité de leur entreprise. »
Les groupes impliqués dans les piratages pro-ukrainiens pourraient planter des portes dérobées dans les systèmes informatiques qui pourraient les réactiver pour de futurs exploits, a déclaré Clay, avec des acteurs plus furtifs qui pourraient passer inaperçus pendant des mois, voire des années. Plus tard, ces groupes pourraient vendre les données des utilisateurs à des fins lucratives ou déployer des rançongiciels, a-t-il déclaré.
Tant que le champ de bataille est encore enveloppé dans le soi-disant « brouillard de la cyber-guerre », il est également possible que certains des acteurs les plus sophistiqués de la cyber-menace opèrent sous le couvert du hacktivisme.
Lors d’un webinaire jeudi, Costin Raiu, directeur de la recherche et de l’analyse mondiales chez Kaspersky, a déclaré que certaines cyberactivités en Ukraine avaient la marque des groupes de menaces persistantes avancées (APT) – le niveau le plus élevé de groupes de cybermenaces, et généralement un dirigé par un est soutenu par une autorité militaire ou par un État-nation – et peut avoir été dissimulé sous fausse bannière de cybercriminalité ou d’opérations hacktivistes.
Pourtant, la nature aveugle des actions hacktivistes peut causer de réels dommages, souvent à des personnes ou à des infrastructures sans lien avec les forces d’invasion. « Il est très dangereux pour les gens de ne pas voir à trois pas pour se livrer à une activité offensive », a déclaré Chester Wisniewski, chercheur principal chez Sophos. « Une caractéristique de ce que nous considérerions comme un piratage offensif acceptable de la part des Britanniques, des Israéliens, des Américains, même des Russes et des Chinois est de comprendre quel sera l’impact potentiel de vos actions, et ainsi de minimiser considérablement les dommages collatéraux de ces actions. « Être précis et utile.
« Les civils ne sont pas préparés à le faire efficacement », ajoute Wisniewski. « Et je suis très inquiet à ce sujet. »