Trace Id is missing

Les acteurs russes de la menace se préparent à tirer parti de la lassitude face à la guerre

Téléchargez
Partager
Opérations de cyberinfluence
Introduction
Les cyber-opérateurs et les agents d'influence russes ont fait preuve d'adaptabilité tout au long de la guerre contre l'Ukraine, en essayant de nouveaux moyens de prendre l'avantage sur le champ de bataille et de saper les sources de soutien intérieures et extérieures de Kiev. Ce rapport détaille les cybermenaces et les activités d'influence malveillantes que Microsoft a observées entre mars et octobre 2023. Au cours de cette période, les populations militaires et civiles ukrainiennes ont de nouveau été dans le collimateur, tandis que le risque d'intrusion et de manipulation s'est accru pour les entités du monde entier qui aident l'Ukraine et cherchent à faire rendre des comptes aux forces russes pour les crimes de guerre.

Phases de la guerre russe en Ukraine de janvier 2022 à juin 2023

Graphique montrant les phases de la guerre russe en Ukraine
Pour en savoir plus sur cette image, voir la page 3 du rapport complet

Les actions de menace observées par Microsoft au cours de la période allant de mars à octobre reflètent des opérations combinées visant à démoraliser le public ukrainien et une concentration accrue sur le cyberespionnage. Les acteurs militaires, cybernétiques et de propagande russes ont mené des attaques concertées contre le secteur agricole ukrainien, une cible d'infrastructure civile, dans le contexte d'une crise céréalière mondiale. Les acteurs de la cybermenace affiliés aux services de renseignement militaire russes (GRU) se sont lancés dans des opérations de cyberespionnage contre l'armée ukrainienne et ses filières d'approvisionnement à l'étranger. Alors que la communauté internationale cherchait à punir les crimes de guerre, des groupes liés aux services russes de renseignement extérieur (SVR) et de sécurité fédérale (FSB) ont ciblé les enquêteurs sur les crimes de guerre à l'intérieur et à l'extérieur de l'Ukraine.

Sur le front de l'influence, la brève rébellion de juin 2023 et la mort ultérieure de Yevgeny Prigozhin, propriétaire du groupe Wagner et de la tristement célèbre ferme à trolls de l'Internet Research Agency, ont soulevé des questions quant à l'avenir des capacités d'influence de la Russie. Tout au long de l'été, Microsoft a observé des opérations de grande envergure menées par des organisations qui n'étaient pas liées à Prigozhin, illustrant l'avenir des campagnes d'influence malveillantes de la Russie sans lui.

Les équipes de Microsoft chargées du renseignement sur les menaces et de la réponse aux incidents ont notifié les clients et les partenaires gouvernementaux concernés et ont travaillé avec eux pour atténuer les menaces décrites dans le présent rapport.

Les forces russes s'appuient davantage sur les armes conventionnelles pour infliger des dégâts en Ukraine, mais les opérations cybernétiques et d'influence restent une menace urgente pour la sécurité des réseaux informatiques et la vie civique des alliés de l'Ukraine dans la région, au sein de l'OTAN et dans le monde. Outre la mise à jour de nos produits de sécurité pour défendre de manière proactive nos clients dans le monde entier, nous partageons ces informations pour encourager une vigilance constante face aux menaces qui pèsent sur l'intégrité de l'espace mondial de l'information.

Les forces cinétiques, cybernétiques et de propagande russes ont convergé contre le secteur agricole ukrainien cet été. Les frappes militaires ont détruit des quantités de céréales qui auraient pu nourrir plus d’un million de personnes pendant un an, tandis que les médias pro-russes ont diffusé des récits justifiant le ciblage en dépit des coûts humanitaires.1

De juin à septembre, la Veille des menaces Microsoft a observé des infiltrations de réseaux, des exfiltrations de données et même des logiciels malveillants destructeurs déployés contre des organisations liées à l’industrie agricole ukrainienne et à l’infrastructure d’expédition des céréales. En juin et juillet, Aqua Blizzard (anciennement ACTINIUM) a volé des données à une entreprise qui aide à suivre les rendements des cultures. Seashell Blizzard (anciennement IRIDIUM) a utilisé des variantes de logiciels malveillants destructeurs rudimentaires détectés par Microsoft comme WalnutWipe/SharpWipe contre des réseaux du secteur alimentaire/agricole.2

Analyse des activités de propagande numérique russe dirigées contre l'agriculture ukrainienne

Présentation des activités de propagande numérique russe dirigées contre l'agriculture ukrainienne
Pour en savoir plus sur cette image, voir la page 4 du rapport complet

En juillet, Moscou s’est retiré de l’initiative céréalière de la mer Noire, un effort humanitaire qui a permis d’éviter une crise alimentaire mondiale et de transporter plus de 725 000 tonnes de blé pour les populations d’Afghanistan, d’Éthiopie, du Kenya, de Somalie et du Yémen au cours de la première année.3 Après l’action de Moscou, les médias pro-russes et les chaînes Telegram se sont empressés de dénigrer l’initiative céréalière et de fournir une justification à la décision de Moscou. Les médias de propagande ont dépeint le corridor céréalier comme une façade pour le trafic de drogue ou l’ont présenté comme un moyen de transférer secrètement des armes, afin de minimiser l’importance humanitaire de l’accord.

Dans plusieurs rapports 2023, nous avons souligné comment des groupes hacktivistes légitimes ou pseudo-hacktivistes, soupçonnés d’être liés au GRU, ont travaillé à amplifier le mécontentement de Moscou à l’égard de ses adversaires et à exagérer le nombre de cyber-forces pro-russes.4 5 6Cet été, nous avons également observé que des hacktivistes sur Telegram diffusaient des messages qui tentaient de justifier des attaques militaires contre des infrastructures civiles en Ukraine et concentraient des attaques par déni de service distribué (DDoS) contre les alliés de l’Ukraine à l’étranger. La surveillance continue par Microsoft de l’intersection entre les groupes hacktivistes et les acteurs des États-nations permet de mieux comprendre le rythme opérationnel des deux entités et la manière dont leurs activités complètent leurs objectifs respectifs.

À ce jour, nous avons identifié trois groupes, Solntsepek, InfoCentr et Cyber Army of Russia, qui interagissent avec Seashell Blizzard. La relation entre Seashell Blizzard et les groupes d'hacktivistes peut être une relation d'utilisation à court terme, plutôt que de contrôle, basée sur les pics temporaires de capacité cybernétique des hacktivistes coïncidant avec les attaques de Seashell Blizzard. Périodiquement, Seashell Blizzard lance une attaque destructrice que les groupes hacktivistes de Telegram revendiquent publiquement. Les hacktivistes retournent ensuite aux actions peu complexes qu'ils mènent habituellement, notamment les attaques DDoS ou les fuites d'informations personnelles ukrainiennes. Le réseau représente une infrastructure agile que l'APT peut utiliser pour promouvoir ses activités.

Composition de l'hacktivisme pro-russe

Graphique montrant la composition de l'hacktivisme pro-russe
Pour en savoir plus sur cette image, voir la page 5 du rapport complet

Les forces russes ne se contentent pas de mener des actions susceptibles d'enfreindre le droit international, elles prennent également pour cible les enquêteurs et les procureurs chargés d'instruire les dossiers à leur encontre.

La télémétrie de Microsoft a révélé que des acteurs liés à l’armée russe et aux agences de renseignement étrangères ont ciblé et violé les réseaux juridiques et d’enquête ukrainiens, ainsi que ceux des organisations internationales impliquées dans les enquêtes sur les crimes de guerre, tout au long du printemps et de l’été de cette année.

Ces cyber-opérations ont eu lieu dans un contexte de tensions croissantes entre Moscou et des groupes tels que la CPI, qui a délivré en mars un mandat d’arrêt à l’encontre du président russe Poutine pour des accusations de crimes de guerre.7

En avril, Seashell Blizzard, lié au GRU, a compromis le réseau d’un cabinet d’avocats spécialisé dans les affaires de crimes de guerre. Aqua Blizzard, attribué au FSB, s'est introduit dans le réseau interne d'un important organisme d'enquête en Ukraine en juillet, puis a utilisé des comptes compromis pour envoyer des e-mails d'hameçonnage à plusieurs entreprises de télécommunications ukrainiennes en septembre.

Les acteurs du SVR Midnight Blizzard (anciennement NOBELIUM) ont compromis et accédé aux documents d'une organisation juridique ayant des responsabilités mondiales en juin et juillet avant que la Réponse aux incidents Microsoft n'intervienne pour remédier à l'intrusion. Cette activité s'inscrit dans le cadre d'une offensive plus agressive de cet acteur visant à pénétrer dans des organisations diplomatiques, de défense, de politique publique et du secteur des technologies de l'information dans le monde entier.

Un examen des notifications de sécurité de Microsoft adressées aux clients concernés depuis mars a révélé que Midnight Blizzard a tenté d’accéder à plus de 240 organisations, principalement aux États-Unis, au Canada et dans d’autres pays européens, avec plus ou moins de succès.8

Près de 40 % des organisations ciblées étaient des groupes de réflexion gouvernementaux, intergouvernementaux ou axés sur la politique.

Les acteurs russes de la menace ont utilisé diverses techniques pour obtenir un accès initial et établir une persistance sur les réseaux ciblés. Midnight Blizzard a adopté une approche globale, en utilisant des mots de passe pulvérisés, des informations d’identification acquises auprès de tiers, des campagnes d’ingénierie sociale crédibles via Teams et l’utilisation abusive de services en cloud pour infiltrer les environnements cloud.9Aqua Blizzard a réussi à intégrer la contrebande de HTML dans les campagnes d’hameçonnage d’accès initial afin de réduire la probabilité de détection par les signatures antivirus et les contrôles de sécurité d’e-mail.

Seashell Blizzard a exploité des systèmes de serveurs périmétriques tels que les serveurs Exchange et Tomcat et a simultanément utilisé des logiciels Microsoft Office piratés contenant la porte dérobée DarkCrystalRAT pour obtenir un accès initial. La porte dérobée a permis à l’acteur de charger une charge utile de deuxième étape que nous appelons Shadowlink, un logiciel se faisant passer pour Microsoft Defender qui installe le service TOR sur un appareil et donne à l’acteur de la menace un accès subreptice via le réseau TOR.10

Diagramme montrant comment Shadowlink installe le service TOR sur un logiciel
Pour en savoir plus sur cette image, voir la page 6 du rapport complet 

Depuis que les forces russes ont lancé leur offensive du printemps 2023, les cyberacteurs affiliés au GRU et au FSB ont concentré leurs efforts sur la collecte de renseignements à partir des communications et des infrastructures militaires ukrainiennes dans les zones de combat.

En mars, la Veille des menaces Microsoft a mis Seashell Blizzard en relation avec des leurres et des packages d’hameçonnage potentiels qui semblaient conçus pour cibler un composant majeur de l'infrastructure de communication militaire ukrainienne. Nous n’avions aucune visibilité sur les suites données à cette affaire. Selon le Service de sécurité ukrainien (SBU), les autres tentatives de Seashell Blizzard pour accéder aux réseaux militaires ukrainiens comprenaient des logiciels malveillants qui leur auraient permis de collecter des informations sur la configuration des terminaux satellites Starlink connectés et de glaner l’emplacement des unités militaires ukrainiennes.11 12 13

Secret Blizzard (anciennement KRYPTON) a également pris des mesures pour s’assurer des points d’ancrage pour la collecte de renseignements dans les réseaux ukrainiens liés à la défense. En partenariat avec l’équipe gouvernementale ukrainienne d’intervention en cas d’urgence informatique (CERT-UA), la Veille des menaces Microsoft a identifié la présence des logiciels malveillants DeliveryCheck et Kazuar de Secret Blizzard sur les systèmes des forces de défense ukrainiennes.14Kazuar inclus plus de 40 fonctions, notamment le vol d’informations d’identification à partir de divers logiciels, de données d’authentification, de proxies et de cookies, ainsi que l’extraction de données des journaux du système d’exploitation.15 Secret Blizzard était particulièrement intéressé par le vol de fichiers contenant des messages du logiciel de messagerie Signal Desktop, ce qui lui aurait permis de lire les discussions privées de Signal.16

Forest Blizzard (anciennement STRONTIUM) s'est à nouveau concentré sur ses cibles d'espionnage traditionnelles, les organisations liées à la défense aux États-Unis, au Canada et en Europe, dont le soutien et l'entraînement militaires permettent aux forces ukrainiennes de continuer à se battre.

Depuis le mois de mars, Forest Blizzard a tenté d'obtenir un accès initial aux organisations de défense par le biais de messages d'hameçonnage intégrant des techniques nouvelles et évasives. Par exemple, en août, Forest Blizzard a envoyé un e-mail d'hameçonnage contenant un code malveillant exploitant une faille de sécurité pour CVE-2023-38831 à des titulaires de comptes d'une organisation de défense européenne. CVE-2023-38831 est une faille de sécurité dans le logiciel WinRAR qui permet aux hackers d'exécuter un code arbitraire lorsqu'un utilisateur tente de visualiser un fichier anodin dans une archive ZIP.

L'acteur exploite également des outils de développement légitimes tels que Mockbin et Mocky pour la commande et le contrôle. Fin septembre, l’acteur a mené une campagne d’hameçonnage en abusant des services GitHub et Mockbin. Le CERT-UA et d’autres sociétés de cybersécurité ont rendu publique cette activité en septembre, notant que l’acteur utilisait des pages de divertissement pour adultes afin d’inciter les victimes à cliquer sur un lien ou à ouvrir un fichier qui les redirigerait vers une infrastructure Mockbin malveillante.17 18Microsoft a observé un pivot vers l’utilisation d’une page sur le thème de la technologie à la fin du mois de septembre. Dans chaque cas, les auteurs ont envoyé un e-mail d’hameçonnage contenant un lien malveillant qui redirigeait la victime vers une URL Mockbin et téléchargeait un fichier ZIP contenant un fichier LNK (raccourci) malveillant se faisant passer pour une mise à jour de Windows. Le fichier LNK télécharge et exécute ensuite un autre script PowerShell afin d'établir une persistance et de mener des actions de suivi telles que le vol de données.

Exemple de capture d'écran d'un leurre PDF associé à l'hameçonnage d'organisations de défense par Forest Blizzard.

Un acteur de la menace se fait passer pour un membre du personnel du Parlement européen
Pièces jointes de l’e-mail : « Ordre du jour 28 août - 03 septembre 2023 » des réunions du Parlement européen. Communication du service de presse. 160 KB bulletin.rar
Figure 5 : Exemple de capture d'écran du leurre PDF associé à l'hameçonnage des organisations de défense par Forest Blizzard.  Pour en savoir plus sur cette image, voir la page 8 du rapport complet

Tout au long de l’année 2023, le MTAC a poursuivi l’observation de Storm-1099, un acteur d’influence affilié à la Russie responsable d’une opération d’influence pro-russe sophistiquée ciblant les partisans internationaux de l’Ukraine depuis le printemps 2022.

Peut-être mieux connu pour l’opération de falsification massive de sites web baptisée « Doppelganger » par le groupe de recherche EU DisinfoLab,19 Les activités de Storm-1099 comprennent également des médias uniques tels que Reliable Recent News (RRN), des projets multimédias tels que la série de dessins animés anti-ukrainiens « Ukraine Inc. », et des manifestations sur le terrain faisant le lien entre le monde numérique et le monde physique. Bien que l’attribution soit incomplète, des technologues politiques russes bien financés, des propagandistes et des spécialistes des relations publiques ayant des liens évidents avec l’État russe ont mené et soutenu plusieurs campagnes de Storm-1099.20

L’opération Doppelganger de Storm-1099 reste pleinement opérationnelle au moment de la rédaction du présent rapport, malgré les tentatives persistantes des entreprises technologiques et des entités de recherche de signaler et d’atténuer sa portée.21 Si cet acteur a toujours ciblé l’Europe occidentale, essentiellement l’Allemagne, il a également visé la France, l’Italie et l’Ukraine. Au cours des derniers mois, Storm-1099 a réorienté ses activités vers les États-Unis et Israël. Cette transition a commencé dès janvier 2023, à l'occasion de manifestations de grande ampleur en Israël contre un projet de réforme judiciaire, et s'est intensifiée après le déclenchement de la guerre entre Israël et le Hamas au début du mois d'octobre. Les médias nouvellement créés reflètent une priorité croissante accordée à la politique américaine et aux prochaines élections présidentielles américaines de 2024, tandis que les actifs existants de Storm-1099 ont poussé avec force la fausse affirmation selon laquelle le Hamas a acquis des armes ukrainiennes sur le marché noir pour ses attaques du 7 octobre en Israël.

Plus récemment, à la fin du mois d'octobre, le MTAC a observé des comptes que Microsoft considère comme étant des actifs de Storm-1099 et qui font la promotion d'un nouveau type de falsification en plus de faux articles et sites web sur les réseaux sociaux. Il s'agit d'une série de courts clips de fausses nouvelles, apparemment créés par des médias réputés, qui diffusent de la propagande pro-russe afin de saper le soutien à l'Ukraine et à Israël. Bien que cette tactique, l'utilisation de parodies de vidéos pour faire passer des messages de propagande, soit une tactique observée ces derniers mois par les acteurs pro-russes en général, la promotion de ce type de contenu vidéo par Storm-1099 ne fait que mettre en évidence la diversité des techniques d'influence et des objectifs de messagerie de l'acteur.

Articles publiés sur de faux sites Doppelganger

La campagne menée par l'acteur russe de la menace de cyberinfluence Storm 1099 a été observée et suivie par Microsoft.
Observé et suivi par Microsoft le 31 octobre 2023. Articles publiés sur de faux sites Doppelganger ; campagne menée par l'acteur russe de la menace de cyberinfluence Storm 1099.
Pour en savoir plus sur cette image, voir la page 9 du rapport complet

Depuis les attaques du Hamas en Israël le 7 octobre, les médias d'État russes et les acteurs d'influence alignés sur l'État ont cherché à exploiter la guerre entre Israël et le Hamas pour promouvoir des récits anti-Ukraine, un sentiment anti-américain et exacerber les tensions entre toutes les parties. Cette activité, bien que réactive à la guerre et généralement limitée dans sa portée, comprend à la fois des médias ouvertement soutenus par l'État et des réseaux sociaux clandestins liés à la Russie et couvrant de multiples plateformes de réseaux sociaux.

 

Les récits promus par les propagandistes russes et les réseaux de réseaux sociaux pro-russes cherchent à monter Israël contre l'Ukraine et à diminuer le soutien occidental à Kiev en affirmant faussement que l'Ukraine a armé les militants du Hamas dans des parodies de médias réputés et des vidéos manipulées. Une vidéo inauthentique affirmant que des recrues étrangères, dont des Américains, ont été transférées d'Ukraine pour participer aux opérations des Forces de défense israéliennes (FDI) dans la Bande de Gaza, qui a recueilli des centaines de milliers de vues sur les plateformes de réseaux sociaux, n'est qu'un exemple parmi d'autres de ce type de contenu. Cette stratégie permet à la fois de diffuser des récits anti-ukrainiens auprès d'un large public et de susciter l'engagement en façonnant de faux récits qui s'alignent sur les principaux événements de l'actualité.

 

La Russie complète également son activité d'influence numérique par la promotion d'événements réels. Les médias russes ont fait une promotion agressive de contenus incendiaires amplifiant les protestations liées à la guerre entre Israël et le Hamas au Moyen-Orient et en Europe, y compris par l'intermédiaire de correspondants sur le terrain des agences de presse de l'État russe. Fin octobre 2023, les autorités françaises ont allégué que quatre ressortissants moldaves étaient probablement liés à des graffitis de l'étoile de David réalisés au pochoir dans des espaces publics à Paris. Deux des Moldaves auraient affirmé avoir été dirigés par un individu russophone, ce qui laisse supposer une possible responsabilité russe dans ces graffitis. Les images des graffitis ont ensuite été amplifiées par les moyens de Storm-1099.22

 

La Russie estime probablement que le conflit actuel entre Israël et le Hamas est à son avantage sur le plan géopolitique, car elle pense que ce conflit détourne l’attention de l’Occident de la guerre en Ukraine. Suivant les tactiques souvent utilisées par la Russie pour exercer son influence, le MTAC estime que ces acteurs continueront à diffuser de la propagande en ligne et à tirer parti d'autres événements internationaux majeurs pour provoquer des tensions et tenter d'entraver la capacité de l'Occident à contrer l'invasion de l'Ukraine par la Russie.

La propagande anti-Ukraine a largement imprégné l'activité d'influence russe depuis avant l'invasion à grande échelle de 2022. Ces derniers mois, cependant, les réseaux d'influence pro-russes et affiliés à la Russie se sont concentrés sur l'utilisation de la vidéo comme support plus dynamique pour diffuser ces messages, ainsi que sur la parodie des médias faisant autorité afin de renforcer leur crédibilité. Le MTAC a observé deux campagnes en cours menées par des acteurs pro-russes inconnus, qui consistent à parodier des médias d'information et de divertissement pour diffuser des contenus vidéo manipulés. Comme les précédentes campagnes de propagande russes, ces activités visent à dépeindre le président ukrainien Volodymyr Zelensky comme un toxicomane corrompu et le soutien occidental à Kiev comme préjudiciable aux populations de ces pays. Le contenu des deux campagnes cherche systématiquement à diminuer le soutien à l'Ukraine, mais adapte les récits pour les aligner sur les événements d'actualité émergents, comme l'implosion du submersible Titan en juin 2023 ou la guerre entre Israël et le Hamas, afin d'atteindre un public plus large.

Diagramme montrant une vue d'ensemble des clips d'information parodiés

montrant une vue d'ensemble des clips d'information parodiés
Pour en savoir plus sur cette image, voir la page 11 du rapport complet

L'une de ces campagnes axées sur la vidéo comprend une série de vidéos fabriquées qui diffusent de faux thèmes et récits anti-ukrainiens et affiliés au Kremlin sous la forme de brefs reportages d'actualité provenant de médias grand public. Le MTAC a observé cette activité pour la première fois en avril 2022, lorsque des canaux Telegram pro-russes ont publié une fausse vidéo de BBC News, qui affirmait que l'armée ukrainienne était responsable d'un tir de missile ayant tué des dizaines de civils. La vidéo utilise le logo, la palette de couleurs et l'esthétique de la BBC, et comporte des sous-titres en anglais contenant des erreurs couramment commises lors de la traduction des langues slaves vers l'anglais.

Cette campagne s'est poursuivie tout au long de l'année 2022 et s'est accélérée au cours de l'été 2023. Au moment de la rédaction du présent rapport, le MTAC a observé plus d'une douzaine de vidéos de médias parodiées dans le cadre de cette campagne, les médias les plus fréquemment parodiés étant BBC News, Al Jazeera et EuroNews. Les chaînes Telegram en langue russe ont d'abord amplifié les vidéos avant qu'elles ne se répandent sur les principales plateformes de réseaux sociaux

Captures d'écran de vidéos imitant le logo et l'esthétique de BBC news (à gauche) et d'EuroNews (à droite)

Clips d'information fabriqués contenant de la désinformation pour le compte de la Russie
Veille des menaces Microsoft : Des nouvelles fabriquées relient l'échec militaire de l'Ukraine, l'attaque du HAMAS et la fausse responsabilité d'Israël
Clips d'information fabriqués contenant de la désinformation pour le compte de la Russie. Captures d'écran de vidéos imitant le logo et l'esthétique de BBC news (à gauche) et d'EuroNews (à droite). Pour en savoir plus sur cette image, voir la page 12 du rapport complet

Bien que ce contenu ait eu une portée limitée, il pourrait constituer une menace crédible pour de futures cibles s'il était affiné ou amélioré grâce à la puissance de l'IA ou amplifié par un messager plus crédible. L'acteur pro-russe responsable des clips d'information parodiés est sensible à l'actualité mondiale et est habile. Par exemple, une fausse vidéo de BBC News a prétendu à tort que l’organisation de journalisme d’investigation Bellingcat avait découvert que les armes utilisées par les militants du Hamas avaient été vendues au groupe par des responsables militaires ukrainiens sur le marché noir. Le contenu de cette vidéo reflétait étroitement les déclarations publiques faites par l’ancien président russe Dmitri Medvedev juste un jour avant la diffusion de la vidéo, démontrant ainsi que la campagne s’alignait fortement sur les messages officiels du gouvernement russe.23

À partir de juillet 2023, des chaînes de réseaux sociaux pro-russes ont commencé à diffuser des vidéos de célébrités, montées de manière trompeuse pour diffuser de la propagande anti-Ukraine. Ces vidéos, qui sont l'œuvre d'un acteur d'influence inconnu allié à la Russie, semblent exploiter Cameo, un site web populaire où les célébrités et autres personnalités publiques peuvent enregistrer et envoyer des messages vidéo personnalisés aux utilisateurs qui paient un droit d'entrée. Les courts messages vidéo, qui mettent souvent en scène des célébrités implorant « Vladimir » de chercher de l'aide pour sa toxicomanie, sont édités par l'acteur inconnu pour y inclure des émojis et des liens. Les vidéos circulent sur les réseaux sociaux pro-russes et sont amplifiées par des médias affiliés à l'État russe ou gérés par l'État, faussement présentées comme des messages adressés au président ukrainien Volodymyr Zelensky. Dans certains cas, l'acteur a ajouté des logos de presse et des pseudos de célébrités sur les réseaux sociaux pour faire passer la vidéo pour des clips d'information provenant de reportages sur les appels publics supposés des célébrités à Zelensky ou de leurs propres messages sur les réseaux sociaux. Les fonctionnaires du Kremlin et la propagande russe parrainée par l'État ont longtemps promu la fausse affirmation selon laquelle le président Zelensky lutte contre la toxicomanie ; cependant, cette campagne marque une nouvelle approche de la part des acteurs pro-russes qui cherchent à faire avancer le récit dans l'espace d'information en ligne.

La première vidéo de la campagne, observée fin juillet, comporte des émojis du drapeau ukrainien, des filigranes du média américain TMZ et des liens vers un centre de désintoxication et l'une des pages officielles du président Zelensky sur les réseaux sociaux. À la fin du mois d’octobre 2023, des chaînes de réseaux sociaux pro-russes avaient diffusé six autres vidéos. Notamment, le 17 août, le média d’État russe RIA Novosti a publié un article couvrant une vidéo mettant en scène l’acteur américain John McGinley, comme s’il s’agissait d’un appel authentique de McGinley à Zelensky24 . Outre McGinley, les célébrités dont le contenu apparaît dans la campagne sont les acteurs Elijah Wood, Dean Norris, Kate Flannery et Priscilla Presley ; le musicien Shavo Odadjian ; et le boxeur Mike Tyson. D’autres médias russes affiliés à l’État, y compris le média Tsargrad sanctionné par les États-Unis, ont également amplifié le contenu de la campagne.25

Images fixes de vidéos montrant des célébrités semblant promouvoir la propagande pro-russe

images fixes de vidéos montrant des célébrités semblant promouvoir la propagande pro-russe
Pour en savoir plus sur cette image, voir la page 12 du rapport complet

Selon le chef militaire ukrainien, les combattants russes sont en train de passer à une nouvelle étape de la guerre statique, celle des tranchées, ce qui laisse présager un conflit encore plus prolongé.26 Kiev aura besoin d’un approvisionnement régulier en armes et d’un soutien populaire pour poursuivre la résistance, et il est probable que nous verrons les opérateurs d’influence et de cybernétique russes intensifier leurs efforts pour démoraliser la population ukrainienne et dégrader les sources extérieures d’aide militaire et financière de Kiev.

À l’approche de l’hiver, nous pourrions à nouveau assister à des frappes militaires visant les compagnies d’électricité et d’eau en Ukraine, combinées à des attaques destructives sur ces réseaux.27 Le CERT-UA, les autorités ukrainiennes chargées de la cybersécurité ont annoncé en septembre que les réseaux énergétiques ukrainiens faisaient l’objet d’une menace soutenue, et la Veille des menaces Microsoft a observé des artefacts de l’activité de menace du GRU sur les réseaux du secteur énergétique ukrainien d’août à octobre.28 Microsoft a observé au moins une utilisation destructrice de l’utilitaire Sdelete contre le réseau d’une compagnie d’électricité ukrainienne en août.29

En dehors de l’Ukraine, l’élection présidentielle américaine et d’autres compétitions politiques majeures en 2024 pourraient donner aux acteurs d’influence malveillants l’occasion de mettre à profit leurs médias vidéo et leurs compétences naissantes en matière d’IA pour détourner le courant politique des élus qui défendent le soutien à l’Ukraine.30

Microsoft travaille sur plusieurs fronts pour protéger ses clients en Ukraine et dans le monde entier contre ces menaces à multiples facettes. Dans le cadre de notre initiative Secure Future, nous intégrons les avancées en matière de cyberdéfense pilotée par l’IA et d’ingénierie logicielle sécurisée, ainsi que les efforts visant à renforcer les normes internationales pour protéger les civils contre les cybermenaces. 31 Nous déployons également des ressources ainsi qu’un ensemble de principes fondamentaux pour protéger les électeurs, les candidats, les campagnes et les autorités électorales dans le monde entier, alors que plus de 2 milliards de personnes se préparent à s’engager dans le processus démocratique au cours de l’année prochaine.32

  1. [1]
  2. [2]

    Pour des informations techniques sur les dernières méthodes d'attaque destructrices en Ukraine, consultez la section https://go.microsoft.com/fwlink/?linkid=2262377

  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]

    Sur la base des notifications émises entre le 15 mars 2023 et le 23 octobre 2023. 

  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  25. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  26. [26]
  27. [27]
  28. [28]
  29. [29]

    Pour les détails techniques https://go.microsoft.com/fwlink/?linkid=2262377

  30. [30]
  31. [31]
  32. [32]

Articles connexes

Les menaces numériques émanant de l’Asie de l’Est prennent de l’ampleur et gagnent en efficacité

Approfondissez le sujet et découvrez les tendances émergentes dans le paysage des menaces en constante évolution en Asie de l’Est. Tandis que la Chine mène des cyberattaques et des opérations d’influence de grande envergure, les acteurs de cybermenaces en Corée du Nord font preuve d’une sophistication grandissante.
En savoir plus

L’Iran se tourne vers les opérations de cyberinfluence pour plus d’efficacité

Le système de veille des menaces Microsoft a révélé une augmentation des opérations de cyberinfluence lancées par l’Iran. Obtenez des insights sur les menaces, notamment des détails sur les nouvelles techniques et sur les menaces potentielles dans le futur.
En savoir plus

Les opérations d'influence et dans le cyberespace sur le champ de bataille numérique de la guerre en Ukraine

La Veille des menaces Microsoft examine une année d’opérations d’influence et dans le cyberespace en Ukraine, découvre les nouvelles tendances en matière de cybermenaces et ce à quoi il faut s’attendre alors que la guerre entre dans sa deuxième année.
En savoir plus

Suivez Microsoft