État des lieux des prises de position dans le conflit en Ukraine

Les réactions à l’invasion de l’Ukraine ont concerné une grande quantité de secteurs. Dans le cyberespace, différents groupes d’attaquants et des administrateurs de forum ont indiqué publiquement leur volonté de soutenir l’un des camps [1]. D’autres sont déjà connus pour être soutenus ou liés à l’une des parties prenantes.

Côté ukrainien :

• Le collectif hacktiviste « Against the West » [2] conduit de nombreuses cyberattaques contre des entreprises et administrations russes et biélorusses. Il serait, entre autres, parvenu à infiltrer Yandex (principal moteur de recherche en Russie), Rosatom (Agence de l’énergie nucléaire) et le ministère de l’agriculture biélorusse. Le collectif a annoncé avoir transmis des informations sur un groupe d’opérateurs de Ransomware (Cooming Project) aux autorités françaises [3].
• Les collectifs  Anonymous [4] et Ghostsec [5] ont pris position publiquement en faveur de l’Ukraine. Anonymous a annoncé avoir mis hors ligne le site de Russia Today et avoir fait fuiter des bases de données de plusieurs administrations russes. Un désaccord aurait émergé avec le groupe « Against The West », ces derniers reprochant à Anonymous de s’approprier le résultat et le mérite des attaques contre la Russie [6].
• Le Vice-Premier ministre ukrainien Mikhailo Fedorov a lancé un appel [7] visant à constituer une « IT Army » [8] afin de conduire des cyberattaques ( DDoS notamment ) contre des administrations et entreprises russes et biélorusses. La mise hors ligne provisoire de différents sites internet a été revendiquée comme un succès par ce groupe.
• Kelvin Security a annoncé se ranger aux côtés de l’Ukraine. Le groupe de hackers revendique une cyberattaque de l’Institut de Recherche Nucléaire de Dubna dans la région de Moscou [9].
• Un administrateur de Raidforums a indiqué qu’il exclurait tout utilisateur lié à la Russie. Un membre du forum a publié un fichier présenté comme une liste d’adresses mail et de mots de passe du domaine fsb.ru. Le FSB étant l’équivalent russe des services de renseignement.
• Des « Cyber-Partisans » biélorusses avaient revendiqué une attaque sur des chemins de fer biélorusses le 24 janvier 2022. Une nouvelle attaque semble avoir été conduite 3 jours plus tard et avoir stoppé des trains à Minsk [10].

Côté russe :

• L’opérateur de ransomwares Conti a, dans un premier temps, annoncé « soutenir complètement » le gouvernement russe et menacé de cibler les « infrastructures critiques » de « l’ennemi ». Ils ont ensuite changé leur discours en indiquant condamner la guerre, mais être prêts à riposter en cas d’attaque sur les infrastructures critiques russes. Leur première prise de position a entraîné une réaction de l’un des membres qui a fait fuiter une grande quantité de données internes incluant des messages et le code source de ses outils. Il s’agirait d’un chercheur en cybersécurité ukrainien. Le choix du groupe de prendre position dans ce conflit semble avoir entraîné son implosion.
• Le groupe UNC1151 serait lié au gouvernement biélorusse et procèderait à des tentatives de phishing sur des soldats ukrainiens.
• Le groupe SandWorm, soupçonné d’être lié à la Russie, s’est également vu attribuer l’attaque ayant touché les centrales électriques ukrainiennes en 2015. Aucune attaque ne lui a en revanche, été attribuée depuis le début de l’invasion.
• Le groupe TheRedBandits revendique avoir piraté des caméras embarquées dans les véhicules de policiers ukrainiens. Le groupe a d’abord menacé de déployer des ransomwares et de réaliser des attaques visant à « créer la panique » si des infrastructures critiques russes étaient attaquées [11]. Il a ensuite nuancé sa position [12].
• Les opérateurs de Coomingproject, un groupe de ransomware peu actif, ont annoncé qu’ils aideraient le gouvernement russe si des cyberattaques étaient conduites à l’encontre de la Russie. Selon le collectif « Against The West », le groupe serait composé de 6 adolescents et jeunes adultes français. Cette information surprend dans la mesure où le groupe a prétendu avoir « reçu pour instruction » d’attaquer la France et le Canada. Il était considéré comme soutenu par la Russie [13].

Neutre :

• Les opérateurs du groupe LockBit 2.0 ont publié un communiqué [13] dans plusieurs langues indiquant refuser de prendre position.