mzabarovsky - Fotolia
Russie : la reine du bal masqué de l’attribution
La NSA et le GCHQ assurent que les cyber-attaquants russes maquillent leurs activités en utilisant outils et infrastructures de leurs homologues iraniens. De quoi rappeler le maquillage de l’opération Olympic Destroyer.
Les agences américaine et britannique du renseignement estiment ouvertement que le groupe Turla, aussi appelé Waterbug ou Venomous Bear, a joué les indélicats avec les outils et l’infrastructure du groupe Oilrig, aussi appelé Crambus (APT34). Le premier est soupçonné d’être lié aux services du renseignement russe et serait à l’origine d’une opération de cyber-espionnage contre le groupe RUAG, en 2014, ou encore d’une autre à l’encontre du gouvernement allemand.
De son côté, Oilrig est soupçonné d’être lié à Téhéran. Et justement, plus tôt cette année, Symantec expliquait avoir trouvé les indices d’une opération conduite contre ce groupe par… Turla, une tentative de détournement d’infrastructure. Au printemps, une « entité » – pour reprendre les termes de l’unité 42 de Palo Alto Networks –, non identifiée à ce jour, s’est attachée à rendre publics de multiples outils et éléments de code d’Oilrig, utilisant le pseudonyme Lab Dookhtegan. Elle est toujours active à ce jour.
Mais aujourd’hui, la NSA et le GCHQ abondent en fait clairement dans le sens de Symantec : selon eux, « le groupe Turla a déployé ses propres implants contre l’infrastructure opérationnelle utilisée par un acteur APT iranien, et utilisé cette infrastructure pour étendre son accès au sein de l’infrastructure APT iranienne globale ». Et d’exfiltrer des données de celle-ci à son profit : « fichiers, dont les résultats de keyloggers contenant l’activité opérationnelle des acteurs iraniens, jusqu’aux connexions aux domaines de commande et de contrôle iraniens ». De quoi s’inviter chez les victimes des cyber-assaillants iraniens, mais également maquiller ses propres activités.
Pour Paul Chichester, directeur des opérations du NCSC, dont fait partie le GCHQ, ces révélations ont notamment un objectif : « envoyer un message clair », que « même lorsque les cyber-acteurs cherchent à masquer leur identité, nos capacités sont à la hauteur et nous pouvons les identifier ». Et ce n’est assurément ni innocent, ni anodin.
L’attribution d’attaques informatiques mérite toujours une certaine prudence, comme le soulignait début 2017, dans nos colonnes, le général Marc Watin-Augouard. Mais la campagne conduite à l’encontre des Jeux Olympiques d’hiver de 2018, à Pyeongchang, en Corée du Sud, a marqué un tournant. Un peu après la campagne Olympic Destroyer, les experts de Kaspersky soulignaient ainsi l’ampleur des efforts déployés par les assaillants pour brouiller les pistes. Ce qu’ils ont eu l’occasion de refaire par la suite : les auteurs d’Olympic Destroyer sont aller jusqu’à maquiller les indications des outils de développement utilisés.
Mais très vite, le renseignement américain avait attribué l’opération à… la Russie. Une affirmation accueillie non sans un certain scepticisme. Mais des experts ont depuis trouvé des indications techniques abondant en ce sens. Et il en va ainsi de Michael Matonis, de FireEye, cité par Andy Greenberg, dans son ouvrage à paraître prochainement, « Sandworm », en travaillant sur d’autres pistes que le code malicieux, remontant notamment les fils de l’infrastructure utilisée.
Aujourd’hui, les cyber-attaquants russes semblent donc passés maîtres dans l’art du déguisement, multipliant les efforts pour assurer leur furtivité, quitte à détourner les outils et l’infrastructure d’autres groupes d’assaillants. Et manifestement, Américains et Britanniques ont décidé d’affirmer qu’ils n’étaient pas dupes. Reste à savoir si cela suffira à prévenir, ou au moins à ralentir, les opérations d’ingérence.