En parallèle des sanctions visant la Russie (avec l’expulsion de 35 diplomates russes annoncée par l’administration Obama en fin de semaine dernière), le FBI et le Department of Homeland Security (ou DHS, l’équivalent de notre ministère de l’Intérieur) ont dévoilé leur rapport officiel sur les opérations de hacking qui ont entouré la récente élection présidentielle aux Etats-Unis. Sans surprise, ce document, qui renferme des détails techniques sur les outils et techniques employées, pointe la responsabilité directe des services de renseignement civils et militaires russes dans cette opération, que les enquêteurs américains ont baptisée Grizzly Steppe.
Cette désignation sans ambiguïté d’un responsable – ou « attribution » en jargon- est inhabituelle dans le domaine cyber, comme le reconnaît d’ailleurs le rapport. Mais ce dernier souligne que ses certitudes s’appuient sur « des indicateurs techniques » relevés par la communauté du renseignement U.S., le Homeland Security, le FBI, des entreprises privées ainsi que « d’autres entités », non précisées.
Selon le gouvernement, l’opération Grizzly Steppe est bien l’œuvre de deux groupes, tous deux impliqués dans le hacking du Parti démocrate. Le premier, APT29 (ou Cozy Bear, apparemment lié aux renseignements civils russes, le FSB), s’est immiscé dans les systèmes de cette organisation dès l’été 2015, tandis que le second, APT28 (ou Fancy Bear, probablement associé aux renseignements militaires russes, le GRU), l’y a rejoint au printemps 2016.
Au printemps 2016, le même parti politique a été la cible d’une seconde campagne de spearphishing, orchestrée cette fois par APT28 selon le rapport officiel. Cette fois, les e-mails malveillants demandaient aux destinataires de modifier leur mot de passe sur un webmail… sauf qu’évidemment le lien proposé renvoyait vers un site contrôlé par les pirates, imitant un service légitime. « En exploitant les crédences ainsi recueillies, APT28 a été en mesure de se ménager des accès et de dérober des données, conduisant probablement à l’exfiltration d’informations de plusieurs responsables du parti », écrivent le DHS et le FBI. Rappelons que les Etats-Unis soupçonnent la Russie d’avoir transmis ces informations volées à Wikileaks afin de polluer la campagne démocrate. Le rapport du DHS et du FBI n’indique toutefois pas si les deux opérations étaient liées ou orchestrées, certains éléments déjà diffusés donnant à penser que APT28 a infecté le parti démocrate sans savoir que APT29 s’y était déjà introduit.
Selon le rapport, les campagnes de spearphishing de APT28 et APT29 étaient encore en cours en novembre 2016, quelques jours après l’élection. Le DHS et le FBI livrent une série d’indicateurs de compromission (IP, hash de fichiers, signature Yara) afin de faciliter le travail de détection des administrateurs systèmes. Les enquêteurs américains demandent notamment aux organisations de se montrer très vigilantes avec leurs sites Web publics. Selon eux, ces derniers constituent des cibles privilégiées par APT28 et APT29, qui y recherchent des vulnérabilités de type cross-site scripting (XSS) ou injection SQL.
Notons que la publication de ce rapport a entraîné un mini-mouvement de panique, un des indicateurs de compromission associés à l’opération Grizzly Steppe ayant été détecté chez un opérateur électrique du Vermont, Burlington Electric, faisant craindre une attaque russe contre une infrastructure vitale aux Etats-Unis. Sauf que le malware en question n’a été identifié que sur un PC portable de l’entreprise, machine qui n’était par ailleurs pas reliée aux installations électriques, a précisé par la suite Burlington Electric.
Rappelons que si Barack Obama a endossé les conclusions de ses services de sécurité, pointant la responsabilité directe de Moscou dans le piratage du parti démocrate, son successeur Donald Trump a lui réitéré ses doutes. Le 31 décembre, il a expliqué que cette « accusation plutôt sérieuse » contre la Russie de Vladimir Poutine devait être étayée par des certitudes. Sous-entendant par-là, que les éléments produits jusqu’à présent ne lui suffisent pas. Donald Trump prendra officiellement ses fonctions à la Maison Blanche le 20 janvier.
A lire aussi :
Obama engage la cyberguerre froide contre la Russie
L’élection de Trump brouillée par le piratage
Les CEO américains ne sont pas préparés aux cyberattaques
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…