Depuis quelque temps, on redoute fortement la perspective d’une cyberguerre initiée par le gouvernement russe. De plus, la tension liée à la situation est accentuée par l’augmentation de nombre de groupes de cybercriminels épaulés par la Russie. Dernièrement, l’entreprise américaine de cybersécurité Crowdstrike a découvert l’existence d’un groupe de cybercriminels russe nommé Ember Bear. Celui-ci est aussi connu sous les noms UAC-0056, Lorec53, Lorec Bear, Bleeding Bear et Saint Bear.
Ember Bear : un groupe de collecte de données
Selon l’affirmation de l’entreprise de cybersécurité, Ember Bear est un groupe de cybercriminels et de collecte de renseignements. Il a lancé une attaque contre des organisations gouvernementales et militaires en Europe de l’est. Cette intrusion a eu lieu au début de l’année 2021.
La société de cybersécurité a constaté que les hackers russes sont motivés par l’exploitation de l’accès et des données obtenues, dans le but de soutenir des opérations militaires. Il faut préciser que ces opérations ont aussi pour objectif d’instaurer un sentiment de méfiance envers les institutions ciblées chez le public. Elles visent ainsi à détériorer la capacité du gouvernement à combattre les cyberopérations russes.
Une technique semblable aux cyberopérations menées par la DGU russe
Selon les analyses des entreprises de cybersécurité, Ember Bear serait à l’origine du malware WhisperGate qui a attaqué les réseaux ukrainiens en janvier, avant l’invasion russe. Ce malware semblait vouloir se faire passer pour un ransomware. Néanmoins, il a été constaté que l’attaque ne comportait pas les mécanismes de paiement ou de récupération des données habituellement associés à un logiciel de rançon. En effet, les hackers ont masqué leur véritable intention en détruisant les données. Par ailleurs, ces attaques ont commencé par l’apparition de messages de menace en trois langues (ukrainien, russe et polonais).
Même si le groupe de hackers Ember Bear semble avoir un lien avec la Russie, l’entreprise de cybersécurité n’arrive pas à le relier à une organisation spécifique. En effet, il semble différent des groupes connus comme Voodoo Bear ou Fancy Bear. Cependant, on a pu déterminer que la cible, les intentions, les techniques, les tactiques et les procédures techniques sont semblables à d’autres cyberopérations menées par la DGU russe, ou direction générale des renseignements.
Une vague de cybermenaces russes
Adam Meyers, le vice-président senior chargé du renseignement chez Crowdstrike a affirmé que les cybermenaces russes ont pris de l’ampleur depuis que le pays a lancé son invasion en Ukraine. Selon sa déclaration, de nombreuses attaques ont succédé aux campagnes de cyberattaques de WhisperGate. De nombreuses organisations de hackers se sont manifestées en lançant d’autres cyberopérations.
Toutefois, les sociétés de cybersécurité ont aussi affirmé que la Russie n’a pas encore lancé de cyberattaques de haut niveau, depuis le début de la guerre. Par contre, les faits montrent qu’elle peut devenir de plus en plus agressive, en représailles des différents soutiens apportés à l’Ukraine et des sanctions importantes qui lui ont été imposées.
