La Russie cible les organisations occidentales qui aident l’Ukraine et s’introduit dans leurs systèmes informatiques

Les entreprises occidentales de logistique et de technologie engagées dans le transport, la coordination et la livraison de l’aide étrangère à l’Ukraine sont ciblées par une unité cybernétique parrainée par l’État russe, a fait savoir l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans un avis publié le 21 mai en collaboration avec plusieurs agences internationales.

La campagne, qui a débuté en 2022, est menée par une unité militaire au sein de la Direction principale du renseignement de l’état-major russe (GRU) appelée Unité 26165, connue dans la communauté de la cybersécurité sous divers noms tels que APT28, Fancy Bear, Forest Blizzard et BlueDelta.

Des organisations gouvernementales et des entités commerciales ont été ciblées par cette campagne. Les secteurs concernés comprennent l’industrie de la défense, les services informatiques, la gestion du trafic aérien, les entités maritimes et les plateformes de transport telles que les aéroports et les ports maritimes.

Les entités ciblées par l’unité 26165 étaient situées dans 13 pays : l’Ukraine, les États-Unis, la Bulgarie, la République tchèque, la France, l’Allemagne, la Grèce, l’Italie, la Moldavie, les Pays-Bas, la Pologne, la Roumanie et la Slovaquie.

L’unité 26165 a pu accéder aux systèmes de plusieurs organisations. Après avoir pénétré dans les systèmes d’une cible, l’acteur malveillant a cherché à accéder à des comptes contenant des informations sensibles sur les expéditions, telles que les manifestes et les horaires de train, selon l’avis.

Les comptes contenaient des détails sur les envois d’aide à destination de l’Ukraine, notamment l’expéditeur, le destinataire, le contenu de la cargaison, l’itinéraire de voyage, la destination et les numéros d’enregistrement des conteneurs.

L’unité 26165 a également probablement eu accès aux caméras privées de cibles dans des endroits clés, notamment des installations militaires, des postes frontières et des gares ferroviaires, indique l’avis, ajoutant que l’acteur de la menace a piraté les portails de services municipaux pour accéder aux caméras de circulation.

Plus de 80 % des caméras ciblées étaient situées en Ukraine, les autres en Roumanie, en Pologne, en Hongrie, en Slovaquie et ailleurs.

« Les dirigeants et les défenseurs du réseau des entités logistiques et des entreprises technologiques devraient reconnaître la menace élevée que représente le ciblage de l’unité 26165 », indique l’avis, leur demandant d’accroître la surveillance et de préparer leurs défenses réseau, anticipant qu’ils seraient ciblés.

L’avis conjoint a été publié par 21 agences mondiales de plusieurs pays, dont les États-Unis, la France, le Royaume-Uni et l’Allemagne.

Dans une déclaration du 21 mai, Paul Chichester, directeur des opérations du Centre national de cybersécurité du Royaume-Uni, une agence ayant contribué dans la publication de l’avis, a déclaré que « la campagne malveillante menée par les services de renseignement militaire russes présente un risque sérieux pour les organisations ciblées ».

« Nous encourageons vivement les organisations à se familiariser avec les menaces et les conseils d’atténuation inclus dans l’avis pour aider à défendre leurs réseaux. »

Le mois dernier, les autorités françaises ont accusé le GRU russe d’avoir participé à une série d’opérations de piratage informatique.

Le GRU « déploie depuis plusieurs années contre la France un mode opératoire cyber-offensif appelé APT28. Il a ciblé une dizaine d’entités françaises depuis 2021 », a écrit Jean-Noël Barrot, ministre des Affaires étrangères, sur le réseau social X, le 30 avril.

Cette procédure d’attaque a été utilisée pour cibler ou compromettre une douzaine d’entités françaises depuis 2021, a indiqué le ministère français de l’Europe et des Affaires étrangères dans un communiqué.

Cybermenace russe

Selon le rapport annuel d’évaluation des menaces de mars 2025 publié par le Bureau du directeur du renseignement national, la Russie a fait preuve de « capacités perturbatrices réelles » sur le front cybernétique au cours de la dernière décennie.

Il s’agit notamment d’acquérir de l’expérience dans l’exécution des attaques en ciblant sans relâche les réseaux ukrainiens à l’aide de logiciels malveillants.

La Russie a connu « des succès répétés en compromettant des cibles sensibles pour la collecte de renseignements », indique le rapport.

Les capacités cybernétiques avancées de ce pays et ses tentatives passées pour se prépositionner afin d’accéder à des infrastructures américaines critiques « en font une menace persistante pour les services de contre-espionnage et de cyberattaque ».

« La force unique de Moscou réside dans l’expérience pratique qu’il a acquise en intégrant les cyberattaques et les opérations à l’action militaire en temps de guerre, amplifiant presque certainement son potentiel à concentrer l’impact combiné sur les cibles américaines en temps de conflit. »

Au cours de l’année écoulée, Washington a pris plusieurs mesures dans le cadre de sa répression contre les cybermenaces russes.

En juillet, le Trésor américain a sanctionné deux pirates informatiques russes accusés d’avoir mené des cyberattaques contre des infrastructures critiques américaines. L’un d’eux serait à l’origine de la compromission du système de contrôle d’une entreprise énergétique.

Le ministère de la Justice et Microsoft ont également saisi plus de 100 domaines Web ayant des liens présumés avec une campagne de cyberespionnage menée par le gouvernement russe, selon des documents judiciaires rendus publics le 3 octobre 2024.

Les domaines étaient utilisés par des pirates informatiques travaillant pour le groupe Callisto, une unité opérationnelle du Service fédéral de sécurité russe, successeur du KGB.