lolloj - Fotolia
Pawn Storm : de nouveaux indices remontant à la Russie ?
Trend Micro indique que le groupe Pawn Storm continue d’être très actif. Il se serait récemment intéressé aux enquêteurs chargés de la destruction du vol MH17 et aux rebelles syriens.
Dans un billet de blog, Christopher Budd, chargé de la communication sur les menaces chez Trend Micro, indique les attaquants du groupe Pawn Storm « ont visé le Bureau de la Sureté Danois (DSB), chargé de l’enquête sur la destruction du vol MH17 », en Ukraine, en juillet 2014. L’opération aurait notamment visé un serveur VPN et un serveur SFTP, le 14 octobre dernier, soit une journée après la diffusion du rapport final du DSB. Les attaquants auraient également tenté de collecter des identifiants de messagerie électronique des enquêteurs.
Selon Budd, les pirates du groupe Pawn Storm ont également visé des rebelles syriens en exil, « ainsi que ces cibles de la défense et de la diplomatie de pays arabes critiques pour l’intervention russe en Syrie ». Un peu plus tôt, Trend Micro indiquait avoir observé le groupe viser régulièrement ces cibles « sensibles politiques, militaires et diplomatiques, aux Etats-Unis, parmi les alliés de l’Otan, mais aussi en Ukraine et des dissidents russes ». De quoi renforcer des suspicions bien établies de liens entre Pawn Storm et le Kremlin.
Fin octobre 2014, Trend Micro alertait déjà sur Pawn Storm, faisant état d’une opération d’espionnage « qui vise des officiels militaires ainsi que des fournisseurs de la Défense ». Mi-avril dernier, il assurait que cette opération montait en puissance, visant les membres de l’Otan et même la Maison Blanche.
Peu après les révélations de Trend Micro, FireEye faisait le lien avec le groupe de pirates APT28. Dans un rapport, ce spécialiste des attaques avancées persistantes expliquait alors que « les indicateurs de logiciels malveillants d’APT28 suggèrent que le groupe est constitué de personnes parlant russe et opérant durant les heures ouvrées des grandes villes de Russie ». Et d’ajouter que « trois thèmes dans le choix des cibles d’APT28 reflètent clairement un intérêt spécifique pour un gouvernement d’Europe de l’Est, et plus probablement le gouvernement russe ».
Des sources tierces nous ont confirmé la présence de binaires attribuables à APT28 sur les machines compromises chez TV5 Monde.