Selon Mandiant, KillNet présente de nouvelles capacités tout en répétant ses anciennes tactiques
juillet 2023 par Mandiant
Mandiant Intelligence évalue avec un degré de confiance élevé que les opérations, dont le collectif hacktiviste pro-russe KillNet a revendiqué la responsabilité, reflètent systématiquement les objectifs stratégiques russes. Bien que nous n’ayons pas encore découvert de preuves directes de la collaboration du collectif avec les services de sécurité russes ou de sa direction par ces derniers.
• Mandiant évalue avec une confiance modérée que la création et l’absorption régulières de nouveaux groupes par le collectif est au minimum une tentative de continuer à attirer l’attention des médias occidentaux et de renforcer la composante d’influence de ses opérations.
• Les opérations revendiquées par KillNet se sont massivement concentrées sur des cibles aux États-Unis et en Europe, même en incluant les opérations de ses affiliés revendiqués comme Anonymous Sudan qui prétendent se concentrer sur des objectifs sans rapport avec l’État russe.
• La perturbation réussie des services Microsoft par Anonymous Sudan en juin 2023 a marqué une augmentation significative des capacités observées du collectif KillNet, qui avait auparavant eu du mal à avoir un impact sur les cibles revendiquées lors d’opérations précédentes. Associée à la compromission et à la fuite de documents de l’Organisation du traité de l’Atlantique nord (OTAN) signalées par KillNet, cette augmentation soudaine des capacités pourrait indiquer un investissement important de la part d’acteurs plus sophistiqués, en particulier lorsqu’elle est mesurée par rapport aux capacités de KillNet depuis la création du collectif à la fin de 2021.
Contexte
Au début de l’année 2022, Mandiant a prédit que les cybermenaces russes associées à l’invasion de l’Ukraine affecteraient des cibles gouvernementales et privées dans des pays tiers, en particulier les pays voisins, les alliés de l’Organisation du traité de l’Atlantique nord (OTAN) et d’autres nations exprimant leur soutien à l’Ukraine. Les acteurs liés au gouvernement russe ont toujours utilisé de fausses façades hacktivistes pour masquer leur rôle dans le ciblage des pays occidentaux. Mandiant a déjà identifié des cas de coordination de groupes hacktivistes autoproclamés avec de tels acteurs dans le contexte de la guerre.
Bien que Mandiant n’ait pas observé de liens directs avec le gouvernement russe, la possibilité d’une coordination, ou de liens plus importants, entre certains ou tous les groupes composant le collectif n’est pas à exclure. Ainsi, il est à prévoir que KillNet et ses affiliés continueront à mener des opérations de déni de service distribué (DDoS) et de piratage informatique visant à perturber les fonctions des gouvernements et des infrastructures critiques dans les pays apportant un soutien financier, économique, diplomatique ou militaire à l’Ukraine.
• Mandiant a retracé l’activité de KillNet jusqu’en janvier 2022, bien que le fondateur présumé du collectif ait affirmé avoir commencé ses activités en 2021. Cette affirmation pourrait être une tentative de séparer le groupe des intérêts du gouvernement russe et d’établir sa légitimité en tant que véritable collectif hacktiviste.
• Le collectif a revendiqué des attaques DDoS, des vols de données et des fuites contre des entités de plusieurs secteurs, notamment les transports, la défense, le gouvernement et l’armée, les services financiers, les institutions mondiales et les télécommunications.
• Le ciblage de KillNet s’est constamment aligné sur les priorités géopolitiques russes établies et émergentes, ce qui suggère qu’au moins une partie de la composante d’influence de cette activité hacktiviste est destinée à promouvoir directement les intérêts de la Russie au sein de nations perçues comme adversaires vis-à-vis de l’invasion de l’Ukraine. L’activité du collectif s’inscrit également dans le cadre de la promotion intérieure de la Russie en faveur de la guerre. Comme la rhétorique du gouvernement russe s’est concentrée sur diverses nations, nous avons observé le groupe revendiquer des attaques ciblant ces mêmes nations peu de temps après.
o Depuis le début de l’année 2023, la majorité des cibles observées sur KillNet se sont concentrées sur les États-Unis, l’Europe et les institutions internationales telles que l’OTAN. Nous avons précédemment observé des ciblages dans des pays tels que l’Allemagne, le Danemark, la Suède, la France, la Pologne, la Slovaquie, l’Ukraine, Israël, les Émirats arabes unis (EAU) et d’autres pays alliés et partenaires de l’OTAN tels que le Japon.