L’Ukraine revendique une cyberattaque dévastatrice contre le fisc russe

Dans un communiqué, le service de renseignement principal du ministère de la Défense ukrainien, revendique une cyberattaque destructrice en Russie. 

Les unités cyber de ce service, le GUR, disent avoir attaqué le système fiscal russe, en piratant un serveur central de la Federal Tax Service (FTS) et plus de 2 300 serveurs régionaux à travers la Russie et la Crimée occupée : « à la suite de la cyberattaque, tous les serveurs ont été infectés par un logiciel malveillant ». 

Si le nom de wiper n’est pas prononcé explicitement, tout suggère l’emploi d’un tel maliciel : « les fichiers de configuration, qui assurent le fonctionnement du vaste système fiscal de la fédération russe depuis des années, ont été complètement éliminés – toute la base de données et ses copies de sauvegarde ont été détruites ».

Des experts estiment que la paralysie durera au moins un mois, et la restauration complète du système fiscal russe est impossible.

Chez Sekoia.io, Nicolas Caproni, souligne que « c’est la première fois qu’un gouvernement revendique officiellement la responsabilité de cyberattaques contre l’infrastructure critique d’un autre pays ».

Mais cette annonce survient alors que l’opérateur mobile ukrainien Kyivstar a été victime, ce mardi 12 décembre, d’une cyberattaque qualifiée de « puissante » ayant fortement affecté le fonctionnement de son réseau. Le PDG de l’opérateur estime que cette attaque est directement liée à la guerre menée en Ukraine par la Russie. Là encore, les détails de la cyberattaque ne sont pas connus, mais les effets suggèrent l’implication d’un maliciel destructeur, de type wiper.

Le roaming national gratuit établi à l’invasion de l’Ukraine, fin février 2022, a permis à des clients de Kyivstar de se connecter à des réseaux mobiles concurrents – ceux de Vodafone et de Lifecell. Mais ceux-ci ont été affectés par l’explosion soudaine de la demande afin d’accueillir un trafic additionnel pour lequel ils ne sont pas dimensionnés. 

De nombreux systèmes connectés ont également été affectés, dont environ 30 % des terminaux de paiement électroniques de PrivatBank, 10 % de ses terminaux de self-service bancaire, ou encore 5 % de ses distributeurs automatiques de billets. Les autorités de la ville de Sumy, dans le nord de l’Ukraine, ont indiqué que le système d’alerte en cas de raid aérien était également concerné.

Kyivstar est parvenu à rétablir ses services de téléphonie fixe en fin de journée du 12 décembre. Le groupe Killnet, connu pour ses attaques en déni de service distribué (DDoS) a revendiqué l’opération, sans convaincre : Alexander Leslie, de Recorded Future, estime ainsi que « Killnet n’est presque certainement pas responsable de l’attaque » contre l’opérateur. 

Avant cette revendication, un membre du collectif DDoSia project, également spécialisé dans le DDoS et aligné sur Moscou, lancé par NoName057(16) en 2022, avait appelé, à « finir » Kyivstar et l’immobiliser pour au moins « 3 à 4 jours ».

L’opération ukrainienne contre le système fiscal est survenue avant celle conduite contre Kyivstar : c’est par exemple le 11 décembre que le fisc russe à Saint-Pétersbourg alertait de l’indisponibilité de ses téléphones ; une conséquence de l’attaque selon le renseignement ukrainien. De quoi suggérer une opération en représailles. 

Ce mercredi 13 décembre, vers 9h heure de Paris, un autre groupe a revendiqué la cyberattaque contre Kyivstar : Solntsepek. Dans un message publié dans sa chaîne Telegram, le groupe affirme avoir détruit 10 000 ordinateurs et plus de 4 000 serveurs, « tout le stockage cloud, et les systèmes de sauvegarde ». Le groupe a accompagné sa revendication de captures d’écran présentées comme devant étayer ses allégations. 

Selon Record Future, Solntsepek est lié au service russe du renseignement militaire, le GRU.