Attaques Opportunistes Contre les Infrastructures Critiques Américaines et Mondiales
La CISA, le FBI, la NSA et 23 organisations partenaires internationales ont publié le 9 décembre 2025 un avis conjoint détaillant les activités de groupes hacktivistes pro-russes ciblant les systèmes de contrôle industriel et les infrastructures critiques aux États-Unis et à l’échelle mondiale. Cette publication fait suite à l’opération Eastwood menée par l’European Cybercrime Centre et à la fiche d’information conjointe du 6 mai 2025 sur les menaces cyber visant les technologies opérationnelles.
Profil des Menaces et Niveau de Sophistication
Les organisations à l’origine de cet avis évaluent que les groupes hacktivistes pro-russes conduisent des attaques moins sophistiquées et à impact réduit comparativement aux groupes APT traditionnels. Ces acteurs exploitent des connexions VNC mal sécurisées et exposées sur Internet pour infiltrer les dispositifs de contrôle OT au sein des systèmes d’infrastructures critiques. Les groupes identifiés sont Cyber Army of Russia Reborn, Z-Pentest, NoName057(16), Sector16 et des entités affiliées.
Les secteurs visés incluent prioritairement les systèmes d’eau et d’assainissement, l’agriculture et l’alimentation, ainsi que l’énergie. Malgré leurs capacités techniques limitées, ces groupes ont démontré leur volonté de causer des dommages réels aux infrastructures vulnérables.
Cyber Army of Russia Reborn : Origines et Évolution
Le Main Center for Special Technologies du GRU, unité militaire 74455, est probablement responsable du soutien à la création de CARR fin février ou début mars 2022. Des acteurs suspectés d’appartenir à l’unité 74455 du GRU ont vraisemblablement financé les outils utilisés par CARR pour conduire des attaques DDoS jusqu’en septembre 2024 au moins.
En avril 2022, le groupe a commencé à utiliser un nouveau canal Telegram nommé « CyberArmyofRussia_Reborn » pour organiser et planifier ses actions. Les créateurs du canal ont recruté des acteurs pour utiliser CARR comme plateforme non-attribuable pour mener des activités cyber en dessous du niveau des APT, visant à dissuader la rhétorique anti-russe. CARR s’est présenté comme un groupe d’hacktivistes pro-russes soutenant la position russe dans le conflit ukrainien et a rapidement revendiqué des attaques DDoS contre les États-Unis et l’Europe.
Fin 2023, CARR a étendu ses opérations aux systèmes de contrôle industriel, revendiquant une intrusion contre une station d’épuration européenne en octobre 2023. En novembre 2023, le groupe a ciblé des dispositifs IHM, revendiquant des intrusions dans deux fermes laitières américaines.
Fin septembre 2024, les administrateurs de CARR sont devenus insatisfaits du niveau de soutien et de financement fourni par le GRU. Cette insatisfaction a conduit les administrateurs de CARR et un administrateur de NoName057(16) à créer le groupe Z-Pentest, employant les mêmes tactiques, techniques et procédures que CARR mais séparément de l’implication du GRU.
NoName057(16) et Structure Organisationnelle
Le Centre d’Étude et de Surveillance du Réseau de l’Environnement Jeunesse, établi au nom du Kremlin, a créé NoName057(16) comme projet secret au sein de l’organisation. Les cadres supérieurs et employés du CISM ont développé et personnalisé l’outil DDoS propriétaire DDoSia du groupe, payé l’infrastructure réseau, servi d’administrateurs sur les canaux Telegram et sélectionné les cibles DDoS.
Actif depuis mars 2022, NoName057(16) a conduit des attaques DDoS fréquentes contre des entités gouvernementales et du secteur privé dans les États membres de l’OTAN et d’autres pays européens perçus comme hostiles aux intérêts géopolitiques russes. Le groupe opère principalement via des canaux Telegram et a utilisé GitHub, ainsi que divers sites web et dépôts, pour héberger DDoSia et partager du matériel et des TTPs avec leurs abonnés.
En 2024, NoName057(16) a commencé à collaborer étroitement avec d’autres groupes hacktivistes pro-russes, opérant un chat conjoint avec CARR mi-2024. En juillet 2024, NoName057(16) a revendiqué conjointement avec CARR une intrusion présumée contre des actifs OT aux États-Unis. Le degré élevé de coopération avec CARR a vraisemblablement contribué à la formation de Z-Pentest en septembre 2024.
Z-Pentest et Sector16 : Nouvelles Entités Spécialisées
Établi en septembre 2024, Z-Pentest est composé de membres de CARR et NoName057(16). Le groupe se spécialise dans les opérations d’intrusion OT ciblant des entités d’infrastructures critiques dispersées mondialement. Le groupe utilise également des opérations de type « hack and leak » et des attaques de défiguration pour attirer l’attention sur leur message pro-russe. Contrairement à d’autres groupes hacktivistes pro-russes, Z-Pentest évite largement les activités DDoS, revendiquant des intrusions OT pour tenter d’obtenir plus d’attention médiatique.
Sector16 a été formé en janvier 2025 comme groupe hacktiviste pro-russe novice ayant émergé par la collaboration avec Z-Pentest. Le groupe maintient activement une présence en ligne, incluant un canal Telegram public où il partage des vidéos, déclarations et revendications de compromission d’infrastructures énergétiques américaines. Les membres de Sector16 ont pu recevoir un soutien indirect du gouvernement russe en échange de la conduite d’opérations cyber spécifiques favorisant les objectifs stratégiques russes.
Méthodologie Technique et Vecteurs d’Attaque
Les groupes hacktivistes pro-russes emploient des tactiques, techniques et procédures facilement disséminables et reproductibles à travers diverses entités, augmentant la probabilité d’adoption généralisée et l’escalade de la fréquence des intrusions. Ces groupes ont des capacités limitées et comprennent fréquemment mal les processus qu’ils visent à perturber. Leur niveau technique apparemment faible résulte en des attaques hasardeuses où les acteurs entendent causer des dommages physiques mais ne peuvent pas anticiper précisément l’impact réel.
Les groupes ciblent les dispositifs IHM connectés via VNC. Ils recherchent principalement la notoriété avec leurs actions. Bien qu’ils aient causé des dommages dans certains cas, ils font régulièrement des revendications fausses ou exagérées concernant leurs attaques sur les infrastructures critiques pour attirer davantage l’attention. Ils déforment fréquemment leurs capacités et les impacts de leurs actions, présentant des incursions mineures comme des violations significatives.
Les hacktivistes pro-russes utilisent une méthodologie de ciblage opportuniste. Ils exploitent des critères superficiels, tels que la disponibilité des victimes et les vulnérabilités existantes, plutôt que de se concentrer sur des entités stratégiquement significatives. Leur manque de focus stratégique peut conduire à un large éventail de cibles, allant des installations de traitement d’eau aux systèmes de puits pétroliers.
Séquence d’Attaque Observée
Jusqu’en avril 2025, les acteurs de menace ont utilisé les méthodes non sophistiquées suivantes pour accéder aux réseaux et conduire des intrusions SCADA. La séquence commence par la recherche de dispositifs vulnérables sur Internet avec des ports VNC ouverts. Les acteurs initialisent un serveur privé virtuel temporaire pour exécuter un logiciel de force brute de mot de passe, utilisent un logiciel VNC pour accéder aux hôtes, confirment la connexion au dispositif vulnérable et forcent le mot de passe si nécessaire.
Les acteurs obtiennent l’accès aux dispositifs IHM, typiquement avec des mots de passe par défaut, faibles ou inexistants. Ils journalisent l’adresse IP, le port et le mot de passe du dispositif vulnérable confirmé. En utilisant l’interface graphique IHM, ils capturent des enregistrements d’écran ou des captures d’écran intermittentes pendant qu’ils conduisent diverses actions visant à affecter la productivité et causer des coûts supplémentaires.
Les actions menées incluent la modification des noms d’utilisateur et mots de passe, la modification des paramètres et du nom du dispositif, la modification des réglages d’instrument, la désactivation des alarmes, la création d’une perte de vue nécessitant une intervention opérateur locale, et le redémarrage ou l’arrêt du dispositif. Les acteurs se déconnectent ensuite du dispositif, terminant la connexion VNC, puis recherchent l’entreprise du dispositif compromis après l’intrusion.
Propagation des Tactiques et Techniques
Pour atteindre un public plus large, les groupes hacktivistes pro-russes travaillent ensemble, amplifient les publications les uns des autres, créent des groupes supplémentaires pour amplifier leurs propres publications et partagent vraisemblablement les TTPs. Z-Pentest a conjointement revendiqué l’intrusion d’un système américain avec Sector16. Sector16 a par la suite commencé à publier des intrusions supplémentaires pour lesquelles le groupe revendiquait la seule responsabilité. Il est probable que ces groupes et groupes similaires continueront à itérer et partager ces méthodes pour perturber les organisations d’infrastructures critiques.
Reconnaissance et Accès Initial
La méthodologie d’intrusion des acteurs de menace est relativement non sophistiquée, peu coûteuse à exécuter et facile à reproduire. Ces groupes hacktivistes pro-russes abusent d’outils populaires de scraping Internet, tels que Nmap ou OPENVAS, pour rechercher des services VNC visibles et utilisent des outils de pulvérisation de mot de passe par force brute pour accéder aux dispositifs via des identifiants par défaut connus ou autrement faibles. Les acteurs de menace recherchent typiquement ces services sur le port par défaut 5900 ou d’autres ports proches (5901-5910). Leur objectif est d’obtenir l’accès distant aux dispositifs IHM connectés aux réseaux de contrôle actifs.
Une fois que les acteurs de menace obtiennent l’accès, ils manipulent les paramètres disponibles depuis l’interface graphique utilisateur sur les dispositifs IHM, tels que des changements arbitraires de paramètres physiques et de points de consigne, ou conduisent des activités de défiguration. Parce que les groupes hacktivistes pro-russes semblent manquer d’expertise sectorielle spécifique ou de connaissance en ingénierie cyber-physique, ils ne peuvent actuellement pas estimer de manière fiable l’impact réel de leurs actions.
Impact Opérationnel Constaté
Bien que les groupes hacktivistes pro-russes démontrent actuellement une capacité limitée à causer systématiquement un impact significatif, il existe un risque que leurs attaques continues résultent en préjudices supplémentaires ou conséquences physiques graves. Les attaques n’ont pas encore causé de blessures, cependant les attaques contre des usines occupées et des installations communautaires démontrent un manque de considération pour la sécurité humaine.
Les organisations victimes ont rapporté que l’impact opérationnel le plus commun causé par ces acteurs de menace est une perte de vue temporaire, nécessitant une intervention manuelle pour gérer les processus. Toute modification des procédures programmatiques et systématiques peut résulter en dommages ou perturbations, incluant des coûts de main-d’œuvre substantiels liés à l’embauche d’un programmeur d’automate pour restaurer les opérations, des coûts associés aux temps d’arrêt opérationnels et des coûts potentiels pour la remédiation réseau.
Cartographie MITRE ATT&CK
L’avis documente les techniques utilisées selon le framework MITRE ATT&CK pour Entreprise, version 18. Les tactiques observées couvrent la reconnaissance avec la collecte d’informations sur l’organisation victime et le scanning actif de vulnérabilités, le développement de ressources via l’acquisition de serveurs privés virtuels, l’accès initial par des dispositifs accessibles via Internet, la persistance par des comptes valides, l’accès aux identifiants par pulvérisation de mots de passe, le mouvement latéral via des identifiants par défaut et services distants VNC, l’exécution par interface graphique utilisateur, l’inhibition de la fonction de réponse incluant le redémarrage de dispositifs et la suppression d’alarmes, la dégradation du contrôle de processus par modification de paramètres et messages de commande non autorisés, et l’impact par perte de productivité, perte de vue et manipulation du contrôle.
Considérations sur la Réponse à Incident
Si des organisations découvrent des systèmes exposés avec des mots de passe faibles ou par défaut, elles doivent présumer que les acteurs de menace ont compromis le système. Les protocoles de réponse à incident appropriés incluent la détermination des hôtes compromis et leur isolation par mise en quarantaine ou hors ligne, l’initiation d’activités de threat hunting pour délimiter l’intrusion, la collecte et révision d’artefacts tels que les processus/services en cours d’exécution, authentifications inhabituelles et connexions réseau récentes, le re-imaging des hôtes compromis, la provision de nouvelles identifications de compte et le rapport de la compromission à la CISA, au FBI et/ou à la NSA.
L’avis conjoint publié le 9 décembre 2025 représente un effort coordonné sans précédent entre 25 organisations de cybersécurité gouvernementales et de renseignement à travers le monde. Cette collaboration reflète la reconnaissance internationale de la menace persistante que représentent les acteurs hacktivistes pro-russes contre les infrastructures critiques, particulièrement dans le contexte du conflit russo-ukrainien en cours et de ses répercussions sur la sécurité des systèmes de contrôle industriel à l’échelle mondiale.
Source:
CISA: https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a
