Accueil Cybersécurité Quatre employés du gouvernement russe accusés dans deux campagnes historiques de piratage...

Quatre employés du gouvernement russe accusés dans deux campagnes historiques de piratage ciblant des infrastructures critiques dans le monde entier

Le ministère américain de la Justice a dévoilé le 24 mars deux actes d’accusation contre quatre ressortissants russes « qui travaillaient pour le gouvernement russe ». Ils sont accusés d’avoir « tenté, soutenu et mené des intrusions informatiques qui, ensemble, dans deux complots distincts, ont ciblé le secteur mondial de l’énergie entre 2012 et 2018. Au total, ces campagnes de piratage ont ciblé des milliers d’ordinateurs, dans des centaines d’entreprises et d’organisations, dans environ 135 pays.  »

Le ministère américain de la Justice a dévoilé des accusations criminelles qui reflètent des activités passées, antérieures à la guerre Ukraine-Russie, mais quelques jours après que le président Joe Biden ait tiré l’alarme sur des cyberattaques russes imminentes en marge de la guerre en Ukraine. Il faut y voir un lien.
Les actes d’accusation datent de juin 2021 et août 2021. Le premier concerne les efforts présumés « d’un employé d’un institut de recherche du ministère russe de la Défense et de ses co-conspirateurs pour endommager des infrastructures critiques en dehors des États-Unis, provoquant ainsi deux fermetures d’urgence distinctes dans une installation ciblée à l’étranger. Le complot a ensuite tenté de pirater les ordinateurs d’une société américaine qui gérait des entités d’infrastructures critiques similaires aux États-Unis. »

Le second détaille les allégations concernant une campagne distincte en deux phases entreprise par « trois officiers du Service fédéral de sécurité russe et leurs co-conspirateurs pour cibler et compromettre les ordinateurs de centaines d’entités liées au secteur de l’énergie dans le monde entier. L’accès à de tels systèmes aurait donné au gouvernement russe la possibilité, entre autres, de perturber et d’endommager ces systèmes informatiques à un moment futur de son choix », explique le ministère.

« Les pirates informatiques parrainés par l’État russe constituent une menace sérieuse et constante pour les infrastructures critiques aux États-Unis et dans le monde entier », a déclaré dans un communiqué la procureure générale adjointe Lisa O. Monaco. « Le FBI, avec nos partenaires fédéraux et internationaux, se concentre sur la lutte contre l’importante cybermenace que la Russie représente pour nos infrastructures critiques », a ajouté dans ce même communiqué le directeur adjoint du FBI, Paul Abbate. 

Triton et Dragonfly

Rappel des faits. En juin 2021, un grand jury fédéral du district de Columbia a renvoyé un acte d’accusation accusant « un programmeur informatique employé par un institut affilié au ministère russe de la Défense, pour son rôle dans une campagne visant à pirater les systèmes de contrôle industriel (ICS) et la technologie opérationnelle (OT) des installations énergétiques mondiales en utilisant des techniques conçues pour permettre de futurs dommages physiques avec des effets potentiellement catastrophiques. » Selon l’acte d’accusation, entre mai et septembre 2017, l’accusé et ses co-conspirateurs ont piraté les systèmes d’une raffinerie étrangère et installé des logiciels malveillants, que les chercheurs en cybersécurité ont appelés « Triton » ou « Trisis », sur un système de sécurité produit par Schneider Electric. « Les conspirateurs ont conçu le logiciel malveillant Triton pour empêcher les systèmes de sécurité de la raffinerie de fonctionner », est-il expliqué. 

Le 26 août 2021, cette fois, un grand jury fédéral de Kansas City a renvoyé un acte d’accusation accusant « trois pirates informatiques, tous résidents et ressortissants de la Fédération de Russie (Russie) et officiers de l’unité militaire 71330 ou « Centre 16 » du FSB d’avoir violé les lois américaines relatives à la fraude et aux abus informatiques, à la fraude électronique, au vol d’identité aggravé et aux dommages causés aux biens d’une installation énergétique. »

Les pirates du FSB étaient membres d’une unité opérationnelle du Centre 16 connue parmi les chercheurs en cybersécurité sous le nom de « Dragonfly », « Berzerk Bear », « Energetic Bear » et « Crouching Yeti ». L’acte d’accusation allègue qu’entre 2012 et 2017, ils se sont livrés à des intrusions informatiques, y compris des attaques de la chaîne d’approvisionnement, « dans le cadre des efforts du gouvernement russe pour maintenir un accès subreptice, non autorisé et persistant aux réseaux informatiques des entreprises et organisations du secteur international de l’énergie, y compris les entreprises pétrolières et gazières, les centrales nucléaires, et les entreprises de services publics et de transport d’électricité. Plus précisément, les conspirateurs ont ciblé les logiciels et le matériel qui contrôlent l’équipement dans les installations de production d’énergie, connus sous le nom de systèmes ICS ou Supervisory Control and Data Acquisition (SCADA). L’accès à de tels systèmes aurait donné au gouvernement russe la possibilité, entre autres, de perturber et d’endommager ces systèmes informatiques à un moment futur de son choix. »

Le spécialiste américain en cybersécurité Mandiant, racheté par Google, relève dans un message envoyé à Solutions Numériques que « la connexion du Service fédéral de sécurité de la fédération de Russie (FSB) n’avait pas encore été exposée publiquement. L’acteur a été impliqué dans des tentatives répétées d’accès aux infrastructures critiques américaines et européennes dans de multiples secteurs, notamment les services publics, la fabrication, les aéroports et autres ». Mais il se dit surtout préoccupé « par le fait que bien que d’importants efforts de remédiation aient été déployés après chacune des campagnes d’intrusion, l’acteur puisse conserver un certain accès. »

Aucun des inculpés n’a été arrêté.