Le FBI a saboté et paralysé un logiciel de piratage utilisé par des espions d'élite russes contre des autorités et des entreprises occidentales. Il s'agit du fameux malware Snake, une boîte à outils de cyberespionnage exploitée depuis près de deux décennies par le groupe de pirates Turla des services secrets russes FSB. C'est ce qu'ont annoncé, mardi, des représentants de haut niveau des autorités américaines chargées de l'application des lois.
L'élimination du logiciel malveillant faisait partie de ce que l'on appelle l'opération Medusa, qui vise à porter le coup de grâce à l'un des principaux programmes de cyber-espionnage russes. «Nous estimons qu'il s'agit de leur principal outil d'espionnage», a déclaré l'un des représentants des autorités.
👉 Suivez en direct la guerre contre l'Ukraine 👈
Turla est largement considéré comme l'un des groupes de pirates informatiques les plus sophistiqués. Un représentant du FBI a déclaré qu'il était actif depuis deux décennies contre une multitude de cibles au sein de l'Otan, des agences gouvernementales américaines et des entreprises technologiques. Le groupe, qui, selon les Etats-Unis, est dirigé par le service de renseignement intérieur russe (FSB), a agi dans l'ombre pendant des années.
Selon des documents judiciaires, le FBI et les services de renseignement des Etats-Unis, du Royaume-Uni, du Canada, d'Australie et de Nouvelle-Zélande étudient le malware russe Snake et son fonctionnement depuis au moins huit ans, soit lors de sa découverte, en 2015, dans les réseaux de plusieurs organisations américaines. Concrètement, les cyberexperts ont analysé comment le logiciel malveillant bien camouflé passe des appels téléphoniques cryptés à la maison et comment le groupe de pirates télécharge les données à l'insu des systèmes informatiques infectés.
Les fonctionnaires américains ont décrit Snake comme «l'outil de cyber-espionnage le plus avancé» du FSB. Il peut infiltrer non seulement Windows, mais aussi Linux et macOS. Le service de renseignement intérieur russe aurait utilisé le malware pour s'emparer d'informations sensibles de cibles de haut niveau telles que des réseaux gouvernementaux, des instituts de recherche et des journalistes.
Dès que Snake s'est installé sur un système informatique, le programme charge d'autres modules logiciels qui permettent aux pirates d'exfiltrer discrètement des données confidentielles via des connexions cryptées.
Les systèmes informatiques infectés par Snake n'ont pas seulement été utilisés abusivement pour collecter des données, mais ont également servi involontairement de serveur proxy ou de botnet permettant de dissimuler le trafic de données d'autres attaques Snake.
L'habileté et la prudence des pirates ont rendu les cyberattaques largement invisibles pendant des années. Mais lorsque les enquêteurs ont découvert le groupe en 2015, ils n'ont pas seulement réussi à démasquer d'autres systèmes infectés par Snake. Il a même été possible de «localiser le principal centre opérationnel du malware», comme le rapporte le service d'information spécialisé dans la cybersécurité Risky Biz News. Selon ce dernier, Snake a pu être associé à une installation du FSB à Riazan, une ville située à 200 kilomètres au sud-est de Moscou.
Le FBI et ses partenaires ont alors réussi à paralyser l'infrastructure des pirates à l'aide de leur propre logiciel. Le FBI s'est appuyé sur des mandats de perquisition existants pour accéder à distance au programme malveillant russe sur les réseaux des victimes aux Etats-Unis et couper ses liens avec les pirates en Russie.
Un haut responsable du FBI a déclaré à Reuters que l'outil du FBI avait été conçu exclusivement pour neutraliser le programme d'espionnage russe. Il le fait sans accéder aux données personnelles de la victime.
Selon les autorités, le malware a été trouvé sur des systèmes dans plus de 50 pays. Bien que le FBI ait paralysé Snake et que les autorités d'autres pays soient maintenant informées de la manière dont Snake peut être supprimé, le risque pour les systèmes informatiques infectés reste élevé. Le FBI avertit que les pirates utilisent presque toujours un enregistreur de frappe sur les systèmes infectés et peuvent revenir avec les données d'accès récupérées, à condition que les mots de passe correspondants n'aient pas été modifiés.
La Russie n'a pas réagi dans l'immédiat. Les dirigeants de Moscou nient régulièrement être impliqués dans le cyber-espionnage.