Les autorités ukrainiennes de cybersécurité ont révélé que l’acteur menaçant parrainé par l’État russe, connu sous le nom de Sandworm, se trouvait dans les systèmes de l’opérateur de télécommunications Kyivstar au moins depuis mai 2023.
Le développement a été signalé pour la première fois par Reuters.
L’incident, décrit comme une « puissante attaque de pirate informatique », a été révélé pour la première fois le mois dernier, empêchant des millions de clients d’accéder aux services mobiles et Internet. Peu de temps après l’incident, un groupe de piratage informatique lié à la Russie, appelé Solntsepyok, a assumé la responsabilité de la violation.
Solntsepyok a été considéré comme un groupe menaçant russe affilié à la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU), qui exploite également Sandworm.
L’acteur des menaces persistantes avancées (APT) a fait ses preuves dans l’orchestration de cyberattaques perturbatrices, le Danemark accusant l’entreprise de piratage informatique d’avoir ciblé 22 entreprises du secteur de l’énergie l’année dernière.
Illia Vitiuk, chef du département de cybersécurité du Service de sécurité ukrainien (SBU), a déclaré que l’attaque contre Kyivstar avait presque tout anéanti, des milliers de serveurs virtuels et d’ordinateurs.
L’incident, a-t-il déclaré, « a complètement détruit le cœur d’un opérateur de télécommunications », soulignant que les attaquants avaient probablement un accès complet au moins depuis novembre, des mois après avoir pris un premier pied dans l’infrastructure de l’entreprise.
« L’attaque avait été soigneusement préparée pendant de nombreux mois », a déclaré Vitiuk. dit dans une déclaration partagée sur le site Internet du SBU.
Kyivstar, qui a depuis a rétabli ses opérations, a déclaré qu’il n’y avait aucune preuve que les données personnelles des abonnés aient été compromises. On ne sait actuellement pas comment l’acteur menaçant a pénétré son réseau.
Il convient de noter que l’entreprise avait précédemment licencié les spéculations sur les attaquants détruisant ses ordinateurs et ses serveurs sont considérées comme des « faux ».
La divulgation intervient alors que le SBU révélé plus tôt cette semaine, elle a supprimé deux caméras de surveillance en ligne qui auraient été piratées par les agences de renseignement russes pour espionner les forces de défense et les infrastructures critiques de la capitale Kiev.
L’agence a déclaré que le compromis permettait à l’adversaire de prendre le contrôle à distance des caméras, d’ajuster leurs angles de vision et de les connecter à YouTube pour capturer « toutes les informations visuelles dans la portée de la caméra ».