Un rapport détaille les activités récentes des cybercriminels russes de Sandworm

La société de cybersécurité Mandiant, qui appartient à Google, a publié, le 17 avril 2024, un rapport sur APT44, alias « Sandworm », un groupe cybercriminel affilié au renseignement militaire russe. Il aurait opéré depuis début 2024 un changement de stratégie, en agissant désormais aussi sous le nom de groupes hacktivistes ultranationalistes.

 « APT44 cultive des identités d’hacktivistes qui lui servent d’atouts pour ses opérations d’information. [Le groupe cybercriminel] est passé par au moins trois canaux Telegram de type hacktiviste pour revendiquer des opérations perturbatrices », lit-on dans le rapport. 

APT44 serait ainsi notamment derrière la chaîne Telegram CyberArmyofRussia_Reborn (CARR), qui se distingue par l’outrance de ses messages. Pour Mandiant, cette nouvelle stratégie vise à « faire apparaître les capacités du GRU [le renseignement militaire russe, NDLR] comme plus puissantes par le biais de revendications d’impact exagérées ».

CARR a notamment revendiqué, depuis début 2024, des opérations contre des installations de traitement ou de distribution de l’eau en Occident, dont une en France. En janvier 2024, les cybercriminels sont ainsi parvenus à faire déborder un château d’eau au Texas (États-Unis), et ont pris le contrôle d’une station d’épuration en Pologne. 

Le 2 mars 2024, CARR a également revendiqué le piratage de la centrale hydroélectrique de Courlon-sur-Yonne, en Bourgogne-Franche-Comté. Or, malgré la publication d’une vidéo présentant des vannes de barrage grandes ouvertes, les cybercriminels s’étaient trompés de cible. Ils ont en fait attaqué la centrale de Courlandon, dans la Marne, une modeste installation utilisant un ancien moulin à eau. 

L’attaque a eu pour principal effet de faire baisser le niveau de l’eau en amont de 20 centimètres. Les conséquences opérationnelles, sur une centrale produisant une faible quantité d’électricité, furent donc quasi nulles.