En Europe et aux États-Unis, des infrastructures critiques ciblées par des cybercriminels russes

“APT44 représente une menace persistante et de grande gravité pour les gouvernements et les opérateurs d’infrastructures critiques dans le monde entier, là où les intérêts russes s’entrecroisent” : dans un rapport publié le 17 avril, Mandiant, société de cybersécurité appartenant à Google, détaille le fonctionnement du groupe de hackers APT44, autrement connu sous le nom de “Sandworm”. Depuis la découverte du groupe de cybercriminels par Mandiant il y a dix ans, sa dangerosité a été revue à la hausse, notamment en raison de sa capacité à mener des activités d’espionnage, d’attaques et d’opérations d’influence avec l’appui du gouvernement russe.

Les hackers russes parviennent à faire déborder un château d’eau

Dès janvier, le canal Telegram CyberArmyofRussia_Reborn (CARR) revendique avoir mené des attaques informatiques contre des installations de traitement ou de distribution de l’eau, en Pologne, aux États-Unis et en France. Jusqu’à présent, il n’était pas possible de savoir si ces cyberattaques étaient liées au groupe de hackers Sandworm. Le rapport publié par Mandiant révèle que cette chaîne Telegram est bel et bien utilisée par APT44 comme canal de propagande, pour le compte du renseignement militaire russe (GRU). CARR est l’un des trois canaux d’information de Sandworm, au même titre que Xaknet, et Solntsepek, à l’origine de la cyberattaque contre l’opérateur ukrainien Kyivstar en décembre dernier.

Dans le détail, le rapport liste les différentes revendications de Sandworm sur des infrastructures hydrauliques, via la chaîne CARR. Entre le 17 et le 18 janvier, cette dernière a publié des vidéos s’attribuant la responsabilité du piratage d’une station de traitement des eaux usées en Pologne. À Muleshoe, au Texas (États-Unis), c’est un château d’eau qui est visé : les pirates parviennent à le faire déborder, et des dizaines de milliers de litres d’eau s’accumulent alors dans les rues et canalisations. Au même moment, d’autres villes texanes détectent également des activités malveillantes dans leurs réseaux de distribution d’eau.

Les systèmes de gestion de l’eau particulièrement vulnérables

En France, Sandworm affirme aussi avoir visé, le 2 mars, la centrale hydroélectrique de Courlon-sur-Yonne (Bourgogne-Franche-Comté). Le groupe de hackers publie alors des images de drone du barrage, avec des extraits vidéo d’un logiciel d’ouverture des vannes. Or selon Le Monde, les hackers d’élite russe se sont trompés de cible, en piratant une petite installation privée sur un moulin, située à Courlandon (Grand Est). En conséquence, le niveau d’eau en amont a baissé de… 20 centimètres.

“Mandiant n’est pas actuellement en mesure de vérifier, de manière indépendante, l’activité d’intrusion avec APT44, tempèrent les chercheurs. Toutefois, les responsables des services publics américains concernés ont reconnu publiquement les incidents survenus dans les entreprises présentées comme victimes par CARR.” Les systèmes d’approvisionnement en eau restent cependant des cibles faciles pour les pirates informatiques : lésées par un manque de financement et de personnel, elles peinent, bien souvent, à mettre en œuvre une cybersécurité nécessaire. D’autre part, le recours fréquent de ces infrastructures aux logiciels de contrôle à distance les rend vulnérables à d’éventuelles failles de sécurité.

Un groupe impliqué dans les MacronLeaks

Les chercheurs de Mandiant ont également “observé le groupe mener des opérations d’espionnage en Amérique du Nord, en Europe, au Moyen-Orient, en Asie centrale et en Amérique latine”. Ils ajoutent : “Avec un nombre record de personnes participant à des élections nationales en 2024, les antécédents de Sandworm en matière de tentatives d’ingérence dans les processus démocratiques augmentent encore la gravité de la menace que le groupe peut représenter à court terme.”

Sandworm a été impliqué, par le passé, dans les MacronLeaks, en 2017, campagne d’espionnage au cours de laquelle des e-mails internes d’“En marche !” ont été piratés. Le gang de cybercriminels est aussi accusé d’avoir piraté les systèmes d’information des JO 2018, lors de la cérémonie d’ouverture de Pyeongchang (Corée du Sud). Ils sont également soupçonnés d’être à l’origine du ransomware NotPetya, ayant touché des entreprises du monde entier et coûté plus d’un milliard de dollars.