Les acteurs de la menace fidèles au Kremlin ont intensifié leurs attaques pour soutenir son invasion de l’Ukraine, avec des attaques par déni de service frappant des banques allemandes et d’autres organisations et le déclenchement d’un nouvel effaceur de données destructeur sur l’Ukraine.

L’agence allemande BSI, qui surveille la cybersécurité dans ce pays, a déclaré que les attaques avaient causé de petites pannes mais n’avaient finalement causé que peu de dégâts.

« Actuellement, certains sites Web ne sont pas accessibles », a déclaré le BSI dans un communiqué aux agences de presse. « Il n’y a actuellement aucune indication d’effets directs sur le service respectif et, selon l’évaluation du BSI, ceux-ci ne sont pas à prévoir si les mesures de protection habituelles sont prises. »

Les attaques par déni de service distribuées, généralement appelées DDoS, semblaient venir en représailles à la décision du gouvernement allemand d’autoriser la livraison de ses chars Leopard 2 avancés à l’Ukraine. Des chercheurs de la société de sécurité Cado Labs ont déclaré mercredi que des groupes hacktivistes de langue russe, dont un se faisant appeler Killnet, avaient lancé des appels à ses membres pour lancer des DDoS contre des cibles en Allemagne. La campagne, qui a débuté mardi alors que la décision du char Leopard 2 semblait imminente, a utilisé le hashtag #ГерманияRIP, qui se traduit par « #GermanyRIP ».

Des messages ont rapidement suivi d’autres groupes russophones revendiquant des attaques contre les sites Web des principaux aéroports allemands, notamment Hambourg, Dortmund, Dresde et Düsseldorf ; l’agence de développement allemande GIZ ; le site de la police nationale allemande ; Banque Allemande; et le système de paiement en ligne Giropay. Il n’était pas clair si l’une des attaques avait réussi à fermer les sites.

Un autre groupe se faisant appeler « Soudan anonyme », a également revendiqué la responsabilité d’attaques DDoS contre les sites Web des services de renseignement étrangers allemands et du Cabinet allemand, en soutien à Killnet.

« Comme nous l’avons vu tout au long de la guerre russo-ukrainienne, les acteurs de la cyber-menace réagissent rapidement aux événements géopolitiques et réussissent à unir et à mobiliser des groupes aux motivations similaires », ont écrit les chercheurs de Cado Labs. « L’implication d’un groupe prétendant être la version soudanaise d’Anonymous est intéressante à noter, car elle démontre la capacité des groupes hacktivistes de langue russe à mener cette mobilisation et cette collaboration au niveau international. »

Killnet est apparu peu de temps après l’invasion de l’Ukraine par la Russie. En juin dernier, il s’est attribué le mérite de ce que le gouvernement lituanien a qualifié de DDoS « intenses » sur l’infrastructure critique du pays, y compris des parties du réseau national sécurisé de transfert de données, qui aide à exécuter la stratégie de la Lituanie pour assurer la sécurité nationale dans le cyberespace. Les discussions sur une chaîne Killnet Telegram à l’époque indiquaient que les attaques étaient en représailles à la fermeture par le gouvernement balte des routes de transit vers la Russie au début du mois.

En septembre, la société de sécurité Mandiant a déclaré avoir découvert des preuves que Killnet avait des liens indirects avec le Kremlin. Plus précisément, les chercheurs de Mandiant ont déclaré que Killnet coordonnait certaines de ses activités avec un groupe appelé Xaknet et que Xaknet, à son tour, avait coordonné certaines activités avec des acteurs de la menace de la Direction principale du renseignement russe, ou GRU.

Par ailleurs, vendredi, des chercheurs de la société de sécurité Eset signalé qu’un autre acteur menaçant soutenu par le Kremlin, connu sous le nom de Sandworm, a déclenché un effaceur de données inédit sur des cibles ukrainiennes. Le malware destructeur, baptisé SwiftSlicer, est écrit dans le langage de programmation Go et utilise des blocs de 4096 octets générés aléatoirement pour écraser les données.