En parallèle des sanctions visant la Russie (avec l’expulsion de 35 diplomates russes annoncée par l’administration Obama en fin de semaine dernière), le FBI et le Department of Homeland Security (ou DHS, l’équivalent de notre ministère de l’Intérieur) ont dévoilé leur rapport officiel sur les opérations de hacking qui ont entouré la récente élection présidentielle aux Etats-Unis. Sans surprise, ce document, qui renferme des détails techniques sur les outils et techniques employées, pointe la responsabilité directe des services de renseignement civils et militaires russes dans cette opération, que les enquêteurs américains ont baptisée Grizzly Steppe.
Cette désignation sans ambiguïté d’un responsable – ou « attribution » en jargon- est inhabituelle dans le domaine cyber, comme le reconnaît d’ailleurs le rapport. Mais ce dernier souligne que ses certitudes s’appuient sur « des indicateurs techniques » relevés par la communauté du renseignement U.S., le Homeland Security, le FBI, des entreprises privées ainsi que « d’autres entités », non précisées.
Selon le gouvernement, l’opération Grizzly Steppe est bien l’œuvre de deux groupes, tous deux impliqués dans le hacking du Parti démocrate. Le premier, APT29 (ou Cozy Bear, apparemment lié aux renseignements civils russes, le FSB), s’est immiscé dans les systèmes de cette organisation dès l’été 2015, tandis que le second, APT28 (ou Fancy Bear, probablement associé aux renseignements militaires russes, le GRU), l’y a rejoint au printemps 2016.
Au printemps 2016, le même parti politique a été la cible d’une seconde campagne de spearphishing, orchestrée cette fois par APT28 selon le rapport officiel. Cette fois, les e-mails malveillants demandaient aux destinataires de modifier leur mot de passe sur un webmail… sauf qu’évidemment le lien proposé renvoyait vers un site contrôlé par les pirates, imitant un service légitime. « En exploitant les crédences ainsi recueillies, APT28 a été en mesure de se ménager des accès et de dérober des données, conduisant probablement à l’exfiltration d’informations de plusieurs responsables du parti », écrivent le DHS et le FBI. Rappelons que les Etats-Unis soupçonnent la Russie d’avoir transmis ces informations volées à Wikileaks afin de polluer la campagne démocrate. Le rapport du DHS et du FBI n’indique toutefois pas si les deux opérations étaient liées ou orchestrées, certains éléments déjà diffusés donnant à penser que APT28 a infecté le parti démocrate sans savoir que APT29 s’y était déjà introduit.
Selon le rapport, les campagnes de spearphishing de APT28 et APT29 étaient encore en cours en novembre 2016, quelques jours après l’élection. Le DHS et le FBI livrent une série d’indicateurs de compromission (IP, hash de fichiers, signature Yara) afin de faciliter le travail de détection des administrateurs systèmes. Les enquêteurs américains demandent notamment aux organisations de se montrer très vigilantes avec leurs sites Web publics. Selon eux, ces derniers constituent des cibles privilégiées par APT28 et APT29, qui y recherchent des vulnérabilités de type cross-site scripting (XSS) ou injection SQL.
Notons que la publication de ce rapport a entraîné un mini-mouvement de panique, un des indicateurs de compromission associés à l’opération Grizzly Steppe ayant été détecté chez un opérateur électrique du Vermont, Burlington Electric, faisant craindre une attaque russe contre une infrastructure vitale aux Etats-Unis. Sauf que le malware en question n’a été identifié que sur un PC portable de l’entreprise, machine qui n’était par ailleurs pas reliée aux installations électriques, a précisé par la suite Burlington Electric.
Rappelons que si Barack Obama a endossé les conclusions de ses services de sécurité, pointant la responsabilité directe de Moscou dans le piratage du parti démocrate, son successeur Donald Trump a lui réitéré ses doutes. Le 31 décembre, il a expliqué que cette « accusation plutôt sérieuse » contre la Russie de Vladimir Poutine devait être étayée par des certitudes. Sous-entendant par-là, que les éléments produits jusqu’à présent ne lui suffisent pas. Donald Trump prendra officiellement ses fonctions à la Maison Blanche le 20 janvier.
A lire aussi :
Obama engage la cyberguerre froide contre la Russie
L’élection de Trump brouillée par le piratage
Les CEO américains ne sont pas préparés aux cyberattaques
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
