L'agence de renseignement militaire russe, le GRU, a depuis longtemps la réputation d'être l'un des plus agressifs au monde en matière de sabotage, d'assassinat et de cyberguerre, avec des hackers qui sont fiers de travailler sous la même bannière que des opérateurs violents des forces spéciales. Mais un nouveau groupe au sein de cette agence montre comment le GRU pourrait mêler plus étroitement que jamais tactiques physiques et numériques : une équipe de hackers, issue de la même unité responsable des tactiques physiques les plus notoires de la Russie, notamment les empoisonnements, les tentatives de coup d'État et les attentats à la bombe dans les pays occidentaux.
Jeudi, un groupe de hackers connu sous le nom de Cadet Blizzard, Bleeding Bear ou Greyscale, qui a lancé de nombreuses opérations de piratage informatique visant l'Ukraine, les États-Unis et d'autres pays d'Europe, d'Asie et d'Amérique latine, fait en fait partie de l'unité 29155 du GRU, la division de l'agence d'espionnage connue pour ses actes éhontés de sabotage physique et ses meurtres à motivation politique. Cette unité a par exemple été liée par le passé à la tentative d'empoisonnement du transfuge du GRU Sergueï Skripal avec l'agent neurotoxique Novichok au Royaume-Uni, qui a conduit à la mort de deux passants, ainsi qu'à un autre complot d'assassinat en Bulgarie, à l'explosion d'un dépôt d'armes en République tchèque et à une tentative de coup d'État manquée au Monténégro.
Cette section tristement célèbre du GRU semble désormais avoir développé sa propre équipe active d’opérateurs de cyberguerre, distincte de celles des autres unités du GRU telles que l’unité 26165, plus connue sous le nom de Fancy Bear ou APT28, et l’unité 74455, l’équipe axée sur les cyberattaques connue sous le nom de Sandworm. Depuis 2022, les pirates informatiques plus récemment recrutés par l’unité 29155 du GRU ont pris la tête des opérations cybernétiques, notamment avec le malware de suppression de données connu sous le nom de Whispergate, qui a frappé les organisations ukrainiennes à la veille de l’invasion russe de février 2022, ainsi que la dégradation des sites Web du gouvernement ukrainien et le vol et la fuite d’informations de ceux-ci sous un faux personnage « hacktiviste » connu sous le nom de Free Civilian.
L’identification du cadet Blizzard comme membre de l’unité 29155 du GRU montre comment l’agence brouille encore davantage la frontière entre tactiques physiques et cybernétiques dans son approche de la guerre hybride, selon l’un des nombreux responsables d’agences de renseignement occidentales interrogés par WIRED sous couvert d’anonymat car ils n’étaient pas autorisés à parler en utilisant leur nom. « Les forces spéciales ne mettent généralement pas en place une unité cybernétique qui reflète leurs activités physiques », explique un responsable. « Il s’agit d’une unité opérationnelle très physique, chargée des actes les plus horribles auxquels le GRU est impliqué. Je trouve très surprenant que cette unité qui fait des choses très pratiques fasse maintenant des choses cybernétiques derrière un clavier. »
Outre ses opérations connues contre l’Ukraine, des responsables des services de renseignement occidentaux ont déclaré à WIRED que le groupe avait également ciblé une grande variété d’organisations en Amérique du Nord, en Europe de l’Est et en Europe centrale, en Asie centrale et en Amérique latine, telles que les secteurs des transports et de la santé, les agences gouvernementales et les « infrastructures critiques », notamment les infrastructures « énergétiques », bien que les responsables aient refusé de fournir des informations plus précises. Les responsables ont déclaré à WIRED que dans certains cas, les pirates informatiques du groupe 29155 semblaient se préparer à des cyberattaques plus perturbatrices, similaires à Whispergate, mais n’avaient pas la confirmation que de telles attaques avaient réellement eu lieu. Le département d’État américain a révélé en juin que les mêmes pirates du GRU qui ont mené Whispergate cherchaient également à trouver des vulnérabilités piratables dans des cibles d’infrastructures critiques américaines, « en particulier les secteurs de l’énergie, du gouvernement et de l’aérospatiale ».
Dans de nombreux cas, les pirates informatiques de 29155 semblent avoir eu pour objectif l'espionnage militaire, selon les responsables des services de renseignements occidentaux. Dans un pays d'Europe centrale, par exemple, le groupe aurait piraté une agence ferroviaire pour espionner les livraisons de matériel par train à destination de l'Ukraine. En Ukraine même, les pirates auraient compromis les caméras de surveillance des consommateurs, peut-être pour avoir une visibilité sur les mouvements des troupes ou des armes ukrainiennes. Les responsables ukrainiens ont déjà prévenu que la Russie avait utilisé cette tactique pour cibler des frappes de missiles, bien que les responsables du renseignement qui ont parlé à WIRED n'aient pas de preuve que les opérations de 29155 aient été spécifiquement utilisées pour cibler ces missiles.