Les cyberespions russes tentent de voler des informations sur le vaccin contre le coronavirus

0
88

Un groupe de cyberespionnage russe qui a piraté les réseaux électoraux avant l’élection présidentielle américaine de 2016 tente maintenant de voler des informations sur le vaccin contre le coronavirus à des chercheurs aux États-Unis, au Royaume-Uni et au Canada. Les gouvernements de ces trois pays ont émis un avertissement le 16 juillet disant que le groupe connu sous le nom d’APT29 ou «Cozy Bear» cible les efforts de développement de vaccins. Le groupe, qui est lié au FSB, le service de sécurité intérieure de la Russie, était entré dans les réseaux du Comité national démocrate avant les élections de 2016.

Ce dernier incident illustre une fois de plus comment, au-delà de toutes nos communications téléphoniques, textuelles et Internet, le cyberespace est un champ de bataille actif, avec des cybercriminels, des agents gouvernementaux et même du personnel militaire sondant les faiblesses des défenses en ligne des entreprises, nationales et même personnelles. Certains des cybercriminels et des cyber-guerriers les plus talentueux et les plus dangereux viennent de Russie, qui se mêle de longue date des affaires d’autres pays.

Au fil des décennies, les opérateurs russes ont volé des téraoctets de données, pris le contrôle de millions d’ordinateurs et récolté des milliards de dollars. Ils ont coupé l’électricité en Ukraine et se sont mêlés d’élections aux États-Unis et ailleurs. Ils se sont livrés à la désinformation et ont divulgué des informations volées telles que les courriels volés au président de la campagne d’Hillary Clinton, John Podesta, à la suite d’attaques de harponnage réussies.

Qui sont ces opérateurs, pourquoi sont-ils si qualifiés et que font-ils?

[Read: Oxford’s COVID-19 vaccine is starting to look like a winner]

Retour aux années 1980

La cybermenace russe remonte au moins à 1986 lorsque Cliff Stoll, alors administrateur système au Lawrence Berkeley National Laboratory, a lié une erreur de comptabilité de 75 cents à des intrusions dans les ordinateurs du laboratoire. Le pirate était à la recherche de secrets militaires, téléchargeant des documents contenant des mots clés importants tels que «nucléaire». Une longue enquête, décrite dans le livre de Stoll «The Cuckoo’s Egg», a conduit à un pirate informatique allemand qui vendait les données volées à ce qui était alors l’Union soviétique.

À la fin des années 1990, le cyberespionnage russe s’était développé pour inclure les intrusions pluriannuelles du «Moonlight Maze» dans l’armée américaine et d’autres ordinateurs du gouvernement, annonçant aujourd’hui l’espionnage massif de la Russie.

Les années 1990 ont également vu l’arrestation de Vladimir Levin, opérateur informatique à Saint-Pétersbourg. Levin a tenté de voler plus de 10 millions de dollars américains en piratant des comptes Citibank, annonçant ainsi l’importance de la Russie dans la cybercriminalité. Et les pirates informatiques russes ont dégradé les sites Web américains pendant le conflit au Kosovo, laissant présager une utilisation intensive par la Russie de cyberattaques perturbatrices et dommageables.

Mener des attaques avancées

Ces dernières années, la Russie a été à l’origine de certaines des cyberattaques les plus sophistiquées jamais enregistrées. La cyberattaque de 2015 contre trois des entreprises régionales de distribution d’électricité de l’Ukraine a coupé le courant à près d’un quart de million de personnes. Les analystes en cybersécurité du Centre d’analyse et de partage d’informations sur l’électricité et du SANS Institute ont rapporté que les attaques en plusieurs étapes ont été menées par un «acteur hautement structuré et doté de ressources». L’Ukraine a imputé les attaques à la Russie.

Les attaquants ont utilisé une variété de techniques et se sont adaptées aux cibles auxquelles ils étaient confrontés. Ils ont utilisé des messages électroniques de spearphishing pour obtenir un accès initial aux systèmes. Ils ont installé le malware «BlackEnergy» pour établir un contrôle à distance sur les appareils infectés. Ils ont récolté des informations d’identification pour se déplacer dans les réseaux. Ils ont développé un micrologiciel malveillant personnalisé pour rendre les dispositifs de contrôle du système inutilisables. Ils ont détourné le système de contrôle de surveillance et d’acquisition de données pour ouvrir les disjoncteurs dans les sous-stations. Ils ont utilisé le logiciel malveillant «KillDisk» pour effacer l’enregistrement de démarrage principal des systèmes affectés. Les attaquants sont même allés jusqu’à frapper les batteries de secours des stations de contrôle et attacher le centre d’appels de la compagnie énergétique à des milliers d’appels.

Les Russes sont revenus en 2016 avec des outils plus avancés pour démonter une artère majeure du réseau électrique ukrainien. La Russie aurait également envahi les entreprises énergétiques aux États-Unis, y compris celles exploitant des centrales nucléaires.

Cyberéducation de premier ordre

La Russie compte de nombreux cyberopérateurs qualifiés, et pour une bonne raison: leur système éducatif met l’accent sur les technologies de l’information et l’informatique, plus qu’aux États-Unis.

Chaque année, les écoles russes occupent un nombre disproportionné des premières places du concours international de programmation collégiale. Dans le concours 2016, l’Université d’État de Saint-Pétersbourg a pris la première place pour la cinquième fois consécutive, et quatre autres écoles russes ont également fait le top 12. En 2017, l’Université ITMO de Saint-Pétersbourg a remporté la victoire, deux autres écoles russes classant également dans le top 12. La meilleure école américaine s’est classée 13e.

Alors que la Russie se préparait à former une cyber-branche au sein de son armée, le ministre de la Défense Sergueï Shoigu a pris note des performances des étudiants russes au concours. «Nous devons travailler avec ces types d’une manière ou d’une autre parce que nous en avons grandement besoin», a-t-il déclaré lors d’une réunion publique avec les administrateurs de l’université.

Qui sont ces cyber-guerriers russes?

La Russie emploie des cyber-guerriers au sein de ses services militaires et de renseignement. En effet, les groupes de cyberespionnage baptisés APT28 (alias Fancy Bear) et APT29 (alias Cosy Bear and The Dukes) correspondraient respectivement à l’agence de renseignement militaire russe GRU et à son organisation de sécurité d’Etat FSB. Les deux groupes ont été impliqués dans des centaines de cyberopérations au cours de la dernière décennie, y compris le piratage des élections américaines.

La Russie recrute des cyber-guerriers dans ses collèges, mais aussi dans les secteurs de la cybersécurité et de la cybercriminalité. On dit qu’il ferme les yeux sur ses hackers criminels tant qu’ils évitent les cibles russes et utilisent leurs compétences pour aider le gouvernement. Selon Dmitri Alperovitch, co-fondateur de la société de sécurité CrowdStrike, lorsque Moscou identifie un cybercriminel talentueux, toute affaire pénale en cours contre la personne est abandonnée et le pirate disparaît dans les services de renseignement russes. Evgeniy Mikhailovich Bogachev, recherché par le FBI avec une récompense de 3 millions de dollars pour la cybercriminalité, figure également sur la liste des personnes sanctionnées par l’administration Obama en réponse à l’ingérence dans les élections américaines. Bogachev travaillerait «sous la supervision d’une unité spéciale du FSB».

Alliés en dehors des canaux officiels

Outre ses capacités internes, le gouvernement russe a accès aux pirates et aux médias russes. L’analyste Sarah Geary de la société de cybersécurité FireEye a rapporté que les pirates «diffusent de la propagande au nom de Moscou, développent des cyber-outils pour les agences de renseignement russes comme le FSB et le GRU, et piratent des réseaux et des bases de données à l’appui des objectifs de sécurité russes».

De nombreux «hackers patriotiques» apparemment indépendants opèrent au nom de la Russie. Plus particulièrement, ils ont attaqué des systèmes critiques en Estonie en 2007 à la suite du déplacement d’un mémorial de l’époque soviétique, la Géorgie en 2008 pendant la guerre russo-géorgienne et l’Ukraine en 2014 en relation avec le conflit entre les deux pays.

À tout le moins, le gouvernement russe tolère, voire encourage, ces hackers. Après que certaines des attaques estoniennes aient été attribuées à la Russie, Moscou a rejeté la demande d’aide de l’Estonie – même si un commissaire du mouvement de jeunesse pro-Kremlin de Russie, Nashi, a admis avoir lancé certaines des attaques. Et lorsque des pirates de l’Union slave ont attaqué avec succès des sites Web israéliens en 2006, le directeur adjoint de la Douma, Nikolai Kuryanovich, a remis au groupe un certificat d’appréciation. Il a noté qu ‘«une petite force de hackers est plus forte que la force de plusieurs milliers de forces armées actuelles».

Alors que certains hackers patriotiques peuvent effectivement opérer indépendamment de Moscou, d’autres semblent avoir des liens étroits. Cyber ​​Berkut, l’un des groupes qui ont mené des cyberattaques contre l’Ukraine, y compris son site électoral central, serait une façade pour la cyberactivité parrainée par l’État russe. Et le groupe d’espionnage russe APT28 aurait opéré sous le couvert du CyberCalifat associé à l’Etat islamique en attaquant la chaîne française TV5 Monde et en reprenant le compte Twitter du Commandement central américain.

L’une des nombreuses cybermenaces

Bien que la Russie représente une cybermenace majeure, ce n’est pas le seul pays qui menace les États-Unis dans le cyberespace. La Chine, l’Iran et la Corée du Nord sont également des pays dotés de fortes capacités de cyberattaque, et davantage de pays rejoindront le pool à mesure qu’ils développeront les compétences de leur peuple.

La bonne nouvelle est que les actions visant à protéger la cybersécurité d’une organisation (comme le contrôle de l’accès aux fichiers sensibles) qui agissent contre la Russie fonctionnent également contre d’autres acteurs de la menace. La mauvaise nouvelle est que de nombreuses organisations ne prennent pas ces mesures. De plus, les pirates trouvent de nouvelles vulnérabilités dans les appareils et exploitent le maillon le plus faible de tous – les humains. Reste à savoir si les cyberdéfenses évolueront pour éviter une calamité majeure, que ce soit en Russie ou ailleurs.

Note de l’éditeur: il s’agit d’une version mise à jour d’un article initialement publié le 15 août 2017.La conversation

Cet article est republié de The Conversation par Dorothy Denning, professeur émérite d’analyse de la défense, Naval Postgraduate School sous une licence Creative Commons. Lisez l’article original.

Pssst, hé toi!

Souhaitez-vous recevoir GRATUITEMENT la newsletter technologique quotidienne la plus impertinente, dans votre boîte de réception? Bien sûr que vous faites: inscrivez-vous à Big Spam ici.