Le ministère américain de la Justice a annoncé des accusations contre quatre employés du gouvernement russe pour une campagne de piratage informatique d’une durée d’un an visant des infrastructures critiques, notamment un opérateur nucléaire américain et une usine pétrochimique saoudienne.
Le premier acte d’accusation, datant de juin 2021, accuse Evgeny Viktorovich Gladkikh, 36 ans, programmeur informatique au ministère russe de la Défense, et deux co-conspirateurs, d’avoir planifié de pirater les systèmes de contrôle industriels – les dispositifs critiques qui maintiennent les installations industrielles opérationnelles – à l’échelle mondiale. installations énergétiques. On pense que Gladkikh est à l’origine du tristement célèbre malware Triton, qui a été utilisé pour cibler une usine pétrochimique en Arabie saoudite en 2017. Les pirates ont utilisé le malware pour tenter de désactiver les systèmes de sécurité de l’usine conçus pour prévenir les conditions dangereuses qui pourraient entraîner des fuites ou explosions. Triton a été lié pour la première fois à la Russie en octobre 2018.
Suite à l’échec de leur complot visant à faire sauter l’usine saoudienne, les pirates ont tenté de pirater les ordinateurs d’une entreprise qui gérait des entités d’infrastructure critiques similaires aux États-Unis, selon le DOJ.
Le deuxième acte d’accusation, déposé en août 2021, accuse Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov et Marat Valeryevich Tyukov, tous prétendument membres de l’unité militaire 71330 du Bureau fédéral de la sécurité (FSB) de Russie, d’un certain nombre d’attaques visant le secteur de l’énergie entre 2012 et 2017. Les pirates, mieux connus des chercheurs en sécurité sous les noms de « DragonFly », « Energetic Bear » et « Crouching Yeti », ont tenté d’accéder aux réseaux informatiques d’entreprises du secteur international de l’énergie, notamment des sociétés pétrolières et gazières, des centrales nucléaires et entreprises de services publics et de transmission d’électricité, a déclaré le DOJ.
Au cours de la première étape de leurs attaques, qui ont eu lieu entre 2012 et 2014, les acteurs de la menace ont compromis les réseaux des fabricants de dispositifs de contrôle industriels et des fournisseurs de logiciels, puis ont caché les logiciels malveillants Havex dans les mises à jour logicielles. Ceci, ainsi que les attaques de harponnage et de point d’eau – une forme d’attaque qui cible les utilisateurs en infectant les sites Web qu’ils visitent couramment – a permis aux attaquants d’installer des logiciels malveillants sur plus de 17 000 appareils uniques aux États-Unis et à l’étranger.
La deuxième phase, « DragonFly 2.0 », s’est déroulée de 2014 à 2017 et impliquait de cibler plus de 3 300 utilisateurs dans plus de 500 organisations américaines et internationales, y compris la Nuclear Regulatory Commission du gouvernement américain et la Wolf Creek Nuclear Operating Corporation.
« Les pirates informatiques parrainés par l’État russe constituent une menace sérieuse et persistante pour les infrastructures critiques aux États-Unis et dans le monde », a déclaré la sous-procureure générale américaine Lisa Monaco dans un communiqué. « Bien que les accusations criminelles dévoilées aujourd’hui reflètent des activités passées, elles montrent clairement le besoin urgent et continu des entreprises américaines de renforcer leurs défenses et de rester vigilantes. »
John Hultquist, vice-président de l’analyse du renseignement chez Mandiant, a déclaré que les actes d’accusation donnent un aperçu du rôle du FSB dans les tentatives de piratage parrainées par l’État russe et constituent un « coup de semonce » pour les groupes d’intrusion russes qui mènent ces cyberattaques perturbatrices. « Ces actions sont personnelles et visent à signaler à toute personne travaillant pour ces programmes qu’elle ne pourra pas quitter la Russie de sitôt », a-t-il déclaré.
Mais Hultquist a averti que les pirates conserveraient probablement l’accès à ces réseaux. « Notamment, nous n’avons jamais vu cet acteur mener des attaques perturbatrices, simplement s’enfouir dans une infrastructure critique sensible pour une éventualité future », a-t-il déclaré à TechCrunch. « Notre préoccupation avec les événements récents est que cela pourrait être l’éventualité que nous attendions. »
Casey Brooks, un chasseur d’adversaires senior chez Dragos, qui appelle le groupe derrière le malware Triton « Xenotime », a déclaré à TechCrunch que les actes d’accusation ne sont pas susceptibles de dissuader les pirates.
« Ces groupes d’activités disposent de ressources suffisantes et peuvent mener des opérations complexes en continu. Bien que les actes d’accusation détaillent certaines des activités d’intrusion de ces groupes, leur ampleur est beaucoup plus grande », a déclaré Brooks. « Par exemple, nous savons que pour Xenotime, cela ne représente qu’une fraction de leur activité globale. Il est essentiel de réaliser que ces groupes sont toujours actifs et que les actes d’accusation ne feront probablement pas grand-chose pour dissuader les opérations futures de ces groupes adversaires.
Le dévoilement des actes d’accusation est intervenu trois jours après que le président Joe Biden a mis en garde contre une cybermenace russe croissante contre les entreprises américaines en réponse aux sanctions occidentales contre la Russie pour son invasion de l’Ukraine. Cela survient également quelques jours seulement après que le DOJ a inculpé six pirates informatiques travaillant au service de l’agence de renseignement militaire russe, le GRU. Les pirates, connus sous le nom de Sandworm, sont accusés d’une série d’attaques de cinq ans, dont la cyberattaque destructrice NotPetya qui a ciblé des centaines d’entreprises et d’hôpitaux dans le monde en 2017 et une cyberattaque qui a détruit le réseau électrique ukrainien.