Le groupe Solntsepyok s’est vanté, mercredi 13 décembre, sur Telegram, d’avoir mené l’opération qui a mis à mal le réseau mobile du premier opérateur d’Ukraine. Il est identifié par les autorités ukrainiennes comme un faux-nez de « Sandworm », une unité des renseignements militaires russes.
Alors que le premier opérateur mobile ukrainien, Kyïvstar, cherche encore à rétablir l’accès complet au réseau pour ses abonnés, un groupe de pirates russophones, baptisé Solntsepyok, a revendiqué, mercredi 13 décembre, la cyberattaque qui, la veille a sévèrement misà mal le réseau de l’entreprise.
Dans un message vantard publié sur Telegram, le groupe affirme avoir détruit des milliers d’ordinateurs et de serveurs ainsi que les systèmes de sauvegarde de Kyïvstar. Sur la même chaîne Telegram ont également été diffusées des captures d’écran, non vérifiées, présentées comme des preuves que les pirates ont eu accès à des systèmes critiques de l’opérateur. Y figurent notamment un serveur de messagerie ou encore l’Active Directory, sorte de tour de contrôle d’un réseau informatique.
Solntsepyok est actif depuis plus d’un an. Le groupe semblait initialement concentrer son activité sur la diffusion de données privées relatives à des militaires ou agents du renseignement ukrainien, vraisemblablement en réponse à un site ukrainien baptisé Myrotvorets, sur lequel sont publiées des listes de personnes présentées comme des « ennemis de l’Ukraine ».
Près de 24 millions de clients touchés
La chaîne Telegram n’est pas sans rappeler les groupes russophones d’« hacktivistes » autoproclamés qui ont fleuri depuis le début de la guerre en Ukraine, et dont l’affiliation réelle est régulièrement questionnée. Les services de renseignement ukrainiens, eux, n’ont aucun doute sur l’origine de « Solntsepyok » : les autorités du pays ont en effet affirmé, dès le mois de juillet, que ce groupe était un faux-nez du GRU, les renseignements militaires russes.
Plus précisément, l’Ukraine relie Solntsepyok à Sandworm, un acteur identifié comme l’unité 74455 du GRU, spécialisé dans les opérations d’espionnage et cyberoffensives. Cette attribution a également été confirmée par la société Mandiant, propriété de Google, rapporte le magazine spécialisé Wired. « C’est un groupe qui a déjà revendiqué des attaques dont nous savons qu’elles ont été menées par Sandworm », a ainsi expliqué John Hultquist, directeur de l’analyse de la menace pour Mandiant.
Dans un communiqué publié mercredi, les autorités ukrainiennes ont déclaré avoir pris connaissance de la revendication diffusée par le groupe, sans donner plus d’informations. L’enquête sur le piratage de Kyïvstar est menée par le SBU, les services de sécurité intérieure ukrainiens.
Plus de 24 heures après l’attaque informatique qui a visé Kyïvstar, une grande partie de ses 24 millions de clients est toujours affectée par des pannes de réseau, selon les données de l’hébergeur américain Cloudflare. La remise en route des communications est toujours en cours, et l’entreprise a affirmé que les appels téléphoniques étaient désormais rétablis sur l’ensemble du territoire, rapporte le quotidien Ukrainska Pravda.
Mardi, la gigantesque panne provoquée par l’attaque informatique avait eu des répercussions sur d’autres infrastructures, dont un petit nombre de guichets de banque, et des sirènes d’alerte aériennes dans certaines régions. Pour Victor Zhora, ancien haut responsable en cybersécurité pour l’Etat ukrainien aujourd’hui visé par une enquête pour corruption, il s’agit de « l’attaque la plus efficace contre une infrastructure critique en Ukraine depuis le 24 février 2022 », a-t-il estimé sur le réseau social X.