Pendant des années, les pirates à l’origine des logiciels malveillants connus sous le nom de Triton ou Trisis se sont imposés comme une menace particulièrement dangereuse pour les infrastructures critiques : un groupe d’intrus numériques qui ont tenté de saboter les systèmes de sécurité industrielle, avec des résultats physiques potentiellement catastrophiques. Maintenant, le ministère américain de la Justice a mis un nom sur l’un des pirates de ce groupe et a confirmé que les cibles des pirates comprenaient une société américaine qui possède plusieurs raffineries de pétrole.
Jeudi, quelques jours seulement après que la Maison Blanche a mis en garde contre de potentielles cyberattaques contre des infrastructures critiques américaines par le gouvernement russe en représailles à de nouvelles sanctions contre le pays, le ministère de la Justice a dévoilé une paire d’actes d’accusation qui décrivent ensemble une campagne d’un an de piratage russe de Installations énergétiques américaines. Dans une série d’accusations, déposées en août 2021, les autorités nomment trois officiers de l’agence de renseignement russe FSB accusés d’être membres d’un groupe de piratage notoire connu sous le nom de Berserk Bear, Dragonfly 2.0 ou Havex, connu pour cibler les services publics d’électricité et d’autres infrastructures critiques dans le monde entier. , et largement soupçonné de travailler au service du gouvernement russe.
Le deuxième acte d’accusation, déposé en juin 2021, porte des accusations contre un membre d’une équipe de hackers sans doute plus dangereuse : un groupe russe connu sous le nom d’acteur Triton ou Trisis, Xenotime ou Temp.Veles. Ce deuxième groupe ne s’est pas contenté de cibler les infrastructures énergétiques dans le monde entier, mais a également pris la mesure rare d’infliger de véritables perturbations à la raffinerie de pétrole saoudienne Petro Rabigh en 2017, infectant ses réseaux avec des logiciels malveillants potentiellement destructeurs et, selon l’acte d’accusation pour la première fois, tentant de s’introduire dans une société américaine de raffinage de pétrole avec ce qui semblait être des intentions similaires. Dans le même temps, un nouvel avis de la division cyber du FBI avertit que Triton « reste [a] menace » et que le groupe de hackers qui lui est associé « continue de mener des activités ciblant le secteur mondial de l’énergie ».
L’inculpation d’Evgeny Viktorovich Gladkikh, un membre du personnel de l’Institut central de recherche scientifique de chimie et de mécanique lié au Kremlin basé à Moscou (généralement abrégé TsNIIKhM), l’accuse, ainsi que des co-conspirateurs anonymes, d’avoir développé le malware Triton et de l’avoir déployé pour saboter le programme de Petro Rabigh. des systèmes instrumentés dits de sécurité, des équipements de sabotage destinés à surveiller et à répondre automatiquement aux conditions dangereuses. Le piratage de ces systèmes de sécurité aurait pu entraîner des fuites ou des explosions désastreuses, mais a plutôt déclenché un mécanisme de sécurité intégrée qui a arrêté à deux reprises les opérations de l’usine saoudienne. Les procureurs suggèrent également que Gladkikh et ses collaborateurs semblent avoir tenté d’infliger une perturbation similaire à une société américaine de raffinage de pétrole spécifique mais anonyme, mais ont échoué.
« Maintenant, nous avons la confirmation du gouvernement », déclare Joe Slowik, chercheur à la société de sécurité Gigamon, qui a analysé le logiciel malveillant Triton lors de sa première apparition et a traqué les pirates derrière lui pendant des années. « Nous avons une entité qui jouait avec un système instrumenté de sécurité dans un environnement à haut risque. Et essayer de faire cela non seulement en Arabie saoudite, mais aux États-Unis, est préoccupant. »