DE | FR
Les spécialistes de la sécurité informatique ont alerté sur le fait que les criminels russes utilisant des logiciels d'extorsion de données personnelles ne cherchaient plus seulement à faire du profit. Ils ont désormais d'autres objectifs plus ciblés.
Les spécialistes de la sécurité informatique ont alerté sur le fait que les criminels russes utilisant des logiciels d'extorsion de données personnelles ne cherchaient plus seulement à faire du profit. Ils ont désormais d'autres objectifs plus ciblés.image: keystone

Comment les hackers pro-russes ciblent les ennemis de Poutine et la Suisse

Des chercheurs en sécurité informatique, qui observent depuis des années les forums de piratage sur le darknet, ont lancé un signal d'alerte. Des criminels pro-russes s'uniraient pour frapper des cibles importantes en Occident.
21.03.2022, 22:08

Les pirates informatiques utilisant des logiciels d'extorsion de données personnelles représentent une menace toujours plus importante pour l'infrastructure dite «critique» des pays occidentaux. Selon la dernière analyse d'experts en sécurité, cette menace concerne également la Suisse.

Leur rapport publié lundi par la Cyber Threat Intelligence Team d'Accenture (ACTI), indique que les «acteurs de ce danger dont les motivations sont pleinement financières» se «divisent progressivement en fractions idéologiques». En raison de l'actuelle guerre en Ukraine, les pirates informatiques pro-russes viseraient davantage l'Occident.

Mais finalement, ne le faisaient-ils pas déjà de toute façon? Cet article aborde les principales questions du point de vue suisse, avec les estimations de Marc Ruef, expert en sécurité informatique.

Un point de départ explosif

Les principaux forums clandestins du darknet sur lesquels les pirates criminels s'échangent des informations sont russophones. Parmi les plus compétents et les plus respectés dans le domaine, et des logiciels d'extorsion de données (aussi dit «ransomwares») en particulier, une portion vient également de Russie.

Sur ces forums clandestins, on publie des offres d'emploi, on vend et transmet des informations privilégiées. Autrefois, ces plateformes appliquaient une politique stricte excluant ce type d'activité «dans les pays de la Communauté des États indépendants (CEI)». Les hackers devaient donc épargner la Russie et les Etats alliés et concentrer leurs attaques sur l'Ouest.

Après l'invasion de l'Ukraine par la Russie le 24 février, le milieu criminel en ligne s'est petit à petit divisé en deux camps: ceux en faveur de la Russie et ceux pour l'Ukraine.

Les querelles entre ces deux groupements, notamment au sein du célèbre groupe de ransomware Conti, ont fait la Une des journaux avant de subitement déboucher sur une fuite inattendue: un chercheur en sécurité pro-ukrainien, agacé par une déclaration pro-russe du groupe, a publié plusieurs gigaoctets de données internes confidentielles.

L'équipe Cyber Threat Intelligence d'Accenture a tenu à souligné la gravité du problème: pour la première fois depuis plus de 10 ans que l'on suit les activités sur le darknet, on constate que les «acteurs de la menace motivés par des raisons financières» se sont divisés en fractions idéologiques. En d'autres termes, les pirates informatiques ne cherchent plus seulement à réaliser un maximum de bénéfices. Ils ont d'autres objectifs avec un schéma d'attaque très ciblé. Ce qui signifie que:

  • Les acteurs pro-ukrainiens refusent de vendre, d'acheter ou de coopérer avec des acteurs orientés pour la Russie. Au contraire, ils tentent graduellement de s'en prendre aux installations russes.
  • Les acteurs pro-russes, en revanche, se sont de plus en plus orientés vers des «activités de type hacktivisme». Ils visent principalement les «ennemis de la Russie» et notamment les institutions occidentales. La justification principale: ils accusent l'Occident de faire la guerre.

Malheureusement, la vieille devise «United we stand, divided we fall» («unis nous nous soutenons, divisés nous tombons») ne s'applique pas aux groupes criminels, constatent les experts en sécurité d'Accenture dans leur rapport. Ces divisions dues à la guerre en Ukraine auraient conduit les acteurs pro-russes à s'unir contre les objectifs occidentaux.

Ce qui impacte également le niveau de menace en Suisse. En effet, le pays figure sur la liste officielle des Etats que la Russie a classés comme «hostiles».

En janvier, le service de renseignement intérieur russe (FSB) a mené une action contre de prétendus membres du gang de ransomware «REvil». La Russie est considérée comme la principale base opérationnelle de ce type de criminel. On ne sait pas dans quelle mesure l'Etat laisse agir les commanditaires.
En janvier, le service de renseignement intérieur russe (FSB) a mené une action contre de prétendus membres du gang de ransomware «REvil». La Russie est considérée comme la principale base opérationnelle de ce type de criminel. On ne sait pas dans quelle mesure l'Etat laisse agir les commanditaires.image: fsb

Quelle est la menace concrètement?

Ces dernières semaines, plusieurs experts en sécurité informatique ont mis en garde contre des cyberattaques menées par des acteurs pro-russes à l'encontre d'entreprises et d'organisations occidentales.

Dans leur rapport, les chercheurs en sécurité d'Accenture décrivent les observations faites sur les forums clandestins. Ils tirent des conclusions quant à la nature de la menace.

Ci-dessous, watson se concentre sur deux points intéressants du point de vue suisse. Le média donne également la parole à Marc Ruef, un expert en sécurité informatique expérimenté. Le Zurichois est également un fin connaisseur du commerce en ligne et de ce que l'on appelle: les exploits. Des instruments d'attaque pour les pirates informatiques.

1. D'énormes sommes d'argent sont offertes pour des cibles occidentales

Selon Accenture, il est probable que les acteurs pro-russes renoncent aux attaques contre les institutions non occidentales afin de concentrer leurs efforts et leurs ressources. Cela serait important dans la mesure où, depuis 2020, le trafic d'accès à des réseaux étrangers est devenu un pilier central de la cybercriminalité clandestine.

Il faut savoir, à ce sujet, qu'il existe des «Initial Access Brokers». En clair, des criminels spécialisés dans la compromission de réseaux d'entreprises. Leur but est de revendre ces réseaux à d'autres groupes criminels, souvent des groupes de ransomware.

Certains acteurs comme «Integra» et «FlawlessMarble» disposaient de budgets de 5 à 10 millions de dollars. Ceci leur permettait d'acquérir presque tous les instruments dont ils avaient besoin.
Certains acteurs comme «Integra» et «FlawlessMarble» disposaient de budgets de 5 à 10 millions de dollars. Ceci leur permettait d'acquérir presque tous les instruments dont ils avaient besoin. screenshot: accenture.com

De tels courtiers ont permis aux groupes de ransomware d'étendre considérablement leurs activités, écrit Accenture. On constate, depuis, une nette augmentation et même quelques excès de prix dans le commerce des exploits.

D'après les informations délivrées par ce document, les acteurs pro-russes chercheraient davantage d'accès à des «infrastructures critiques» en Europe occidentale/aux Etats-Unis. On offrirait jusqu'à 500 000 dollars pour intégrer au réseau et jusqu'à 10 millions de dollars US pour des exploits «zero-day» sur des forums de pirates. Par «zero-day», comprenez des attaques informatiques qui dont les ingénieurs n'avaient aucune connaissance avant leur diffusion.

C'est ce que pense l'expert en sécurité informatique Marc Ruef, copropriétaire de la société suisse de sécurité informatique Scip AG:

«Dans les forums illégaux, on écrit facilement beaucoup de contenu. Il n'est pas rare d'y trouver des prétentieux dont la seule ambition n'est que de se rendre populaires à l'aide de déclarations chocs et extrêmes. Un accès pour 500 000 dollars est certes onéreux, mais en principe envisageable.

Payer 10 millions de dollars pour un seul exploit est toutefois au-delà du bien et du mal. C'est peut-être le budget annuel d'une organisation mais dépenser tout ce budget pour un seul exploit me semble insensé.»
Mais que signifie le terme «infrastructure critique» ?
Les infrastructures critiques désignent tant les constructions et les installations, mais aussi les systèmes d'approvisionnement et les services qui sont essentiels à la survie d'un Etat et sa société. Des pannes graves, comme un black-out électrique à l'échelle nationale, peuvent causer de graves dommages économiques et affecter massivement la population, comme l'écrit l'Office fédéral de la protection de la population (OFPP). Le Conseil fédéral a adopté, en 2012, une première stratégie nationale pour la protection des infrastructures critiques et l'a actualisée en 2017.

2. les groupes de ransomware sont plus dangereux que les hacktivistes

Le collectif d'hacktivistes Anonymous a réalisé un certain nombre d'actions depuis la déclaration de guerre à Poutine: des attaques de surcharge des serveurs ont mis temporairement hors ligne des sites internet russes. Des vols de données et des actions de protestation très médiatisées, comme l'affichage d'informations non censurées pour les téléspectateurs russes, ont également été réalisés.

Mais en comparaison avec les hacktivistes, les groupes de ransomware sont beaucoup plus puissants. Ils utilisent des failles de sécurité logicielles inconnues dans leurs attaques (One-Day ou Zero-Day-Exploits). Ils disposent d'un niveau technique relativement plus élevé et de budgets plus importants (généralement sous forme de bitcoin). Ils semblent par ailleurs mieux organisés. Ceci leur permettant de «perturber» les entreprises de manière plus efficace et sur une plus longue période.

Lors de leurs recherches sur le darknet, les experts en sécurité d'Accenture ont découvert plusieurs acteurs qui auraient expressément formulé le souhait d'attaquer des infrastructures critiques occidentales pour soutenir la Russie.

C'est ce que pense l'expert en sécurité informatique Marc Ruef:

«Les développements politiques actuels n'ont que peu d'influence sur les entreprises non exposées en Suisse. Même s'il faut certes s'attendre à une augmentation des campagnes d'hameçonnage basées sur l'Ukraine, les attaques ciblées ne devraient pas se produire.

La situation est en revanche différente pour les organisations politiquement exposées et liées aux parties en conflit. Celles-ci devront faire face à des attaques très concrètes.»

En ce qui concerne la dangerosité des gangs de ransomwares connus comme Conti ou ALPHV, Thomas Uhlemann de la société de sécurité informatique slovaque Eset affirme que «la plupart des gens ne sont pas conscients de la dangerosité de ces logiciels d'extorsion de données»:

«En réalité, la plupart des attaques réussies sont rendues possibles par les victimes elles-mêmes. Les voies d'attaque, par exemple par courrier électronique ou par hameçonnage, se ressemblent toujours plus et n'ont même pas besoin d'être très sophistiquées.»

L'avenir nous dira si les attaques de ransomware contre des organisations gouvernementales et des entreprises économiques importantes se multiplieront dans les semaines qui viendront.

Reste à noter qu'il y a pratiquement tous les jours de nouvelles informations sur des attaques de pirates informatiques ainsi que sur des vols de données et des tentatives d'extorsion liés.

A ce sujet, Marc Ruef a un avis tranché:

«Certes, on observe que les cybercriminels s'immiscent dans les développements politiques en Ukraine, mais il s'agit tout au plus d'un ‹service à la patrie›. En ce sens, nous pouvons nous permettre de douter du maintien de cette liaison dans la durée, qui plus est sans condition. Au final, c'est toujours l'argent qui dicte la loi. Les objectifs prétendument honorables finissent par lui céder.»

Traduit de l'allemand par Nicolas Varin

La situation des réfugiés ukrainiens en images

1 / 7
Les réfugiés ukrainiens
source: sda / amel pain
partager sur Facebookpartager sur Twitterpartager par WhatsApp

Un centre commercial a été frappé par la l'armée russe

Plus d'articles sur le thème «Technologie»

Anonymous a piraté le groupe pétrolier russe Rosneft, proche de Poutine

Link zum Artikel

Poutine lance un intranet russe et pourrait détruire l'Internet libre

Link zum Artikel

Le réseau Starlink d'Elon Musk à la rescousse de l'Ukraine

Link zum Artikel

Celui qui a traqué le jet de Musk cible maintenant les oligarques russes

Link zum Artikel
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
«Va te faire foutre Hanouna»: Jawad dans TPMP, ça ne passe pas
C'est une histoire courte. «Touche pas à mon poste» annonce sur Twitter la venue de Jawad Bendaoud lundi soir en direct. Quelques minutes plus tard, sa présence est annulée. Entre les deux? L'émoi et le dégoût. Récit éclair.

C'est l'histoire d'un «logeur» délogé à la vitesse de la lumière. Jawad Bendaoud, autoproclamé «logeur de djihadistes» et célèbre (puis condamné) pour avoir loué un squat pour 150 euros la nuit à deux terroristes durant les attentats du 13 novembre 2015, aurait dû s'exprimer pour la première fois chez Cyril Hanouna. Lundi soir. En direct. Mais l'annonce publiée par Touche pas à mon poste (TPMP) sur Twitter a suscité un tel émoi que, quelques minutes plus tard, sa venue a été purement et simplement annulée.

L’article