Pendant des années, idéaliste les hacktivistes ont perturbé les systèmes informatiques des entreprises et des gouvernements lors d’actes de protestation. Les gangs cybercriminels, quant à eux, ont de plus en plus pris en otage le même type de réseaux d’entreprise avec des ransomwares, cryptant leurs données et les extorquant à des fins lucratives. Maintenant, dans le cas géopolitiquement chargé d’une attaque hacktiviste contre le système ferroviaire biélorusse, ces deux veines de piratage coercitif semblent fusionner.
Lundi, un groupe de pirates informatiques biélorusses connus sous le nom de Biélorusses Cyber Partisans a annoncé sur Twitter et Telegram qu’ils avaient piraté les systèmes informatiques des chemins de fer biélorusses, le système ferroviaire national du pays, dans le cadre d’un effort hacktiviste que les attaquants appellent Scorching Heat. Les pirates ont depuis captures d’écran publiées qui semblaient montrer leur accès aux systèmes dorsaux du chemin de fer et prétendaient avoir chiffré son réseau avec des logiciels malveillants, pour lesquels ils ne fourniraient des clés de déchiffrement que si le gouvernement biélorusse répondait à une liste de demandes. Ils ont demandé la libération de 50 prisonniers politiques détenus au milieu des manifestations du pays contre le dictateur Alexandre Loukachenko, ainsi qu’un engagement des chemins de fer biélorusses à ne pas transporter de troupes russes alors que le Kremlin se prépare à une éventuelle invasion de l’Ukraine sur plusieurs fronts. .
Les pirates informatiques semblent avoir réussi à rendre inaccessibles au moins certaines des bases de données des chemins de fer biélorusses lundi, selon Franak Viačorka, conseiller technique de la chef de l’opposition biélorusse Sviatlana Tsikhanouskaya. Viačorka dit avoir confirmé les pannes de la base de données avec les cheminots biélorusses. Le système de billetterie en ligne du chemin de fer a également été supprimé lundi; mardi, il a affiché un message indiquant que « des travaux sont en cours pour restaurer les performances du système » mais est resté hors ligne.
« Au commandement du terroriste Lukashenka, #Belarusian Railway permet aux troupes d’occupation d’entrer sur nos terres. Nous avons chiffré certains des serveurs, bases de données et postes de travail de BR pour perturber ses opérations », ont écrit les pirates Cyber Partisan sur Twitter lundi, notant que les pirates ont pris soin de ne pas affecter les « systèmes d’automatisation et de sécurité » qui pourraient entraîner des conditions ferroviaires dangereuses.
Les chercheurs en cybersécurité n’ont pas encore confirmé de manière indépendante quel type de rançongiciel a été utilisé pour chiffrer les systèmes des chemins de fer biélorusses. Mais une porte-parole de Cyber Partisans, Yuliana Shemetovets, a écrit à WIRED que si les pirates supprimaient définitivement certains systèmes de sauvegarde, d’autres étaient simplement cryptés et pouvaient être décryptés si les pirates fournissaient les clés. Shemetovets a ajouté que le rançongiciel utilisé par les pirates « a été spécialement créé mais basé sur la pratique courante dans ce domaine ».
L’utilisation d’un cryptage réversible plutôt que de simplement effacer les machines ciblées représenterait une nouvelle évolution dans les tactiques hacktivistes, déclare Brett Callow, chercheur spécialisé dans les ransomwares à la société de sécurité Emsisoft. « C’est la première fois que je me souviens que des acteurs non étatiques ont déployé des rançongiciels uniquement à des fins politiques », déclare Callow. « Je trouve cela absolument fascinant et je suis surpris que cela ne se soit pas produit il y a très, très longtemps. C’est beaucoup plus efficace que d’agiter des pancartes à l’extérieur d’un laboratoire de test pour chiots.
Les ransomwares – et les malwares destructeurs prétendant être des ransomwares – ont certainement été utilisés à des fins de coercition politique dans le passé. Des pirates nord-coréens, par exemple, ont planté des logiciels malveillants destructeurs sur des machines du réseau de Sony Pictures en 2014. Se faisant passer pour des hacktivistes du nom de Gardiens de la paix, ils semblent avoir envoyé un e-mail exigeant un paiement avant l’attaque, puis ont fait pression sur l’entreprise. ne pas sortir la comédie sur l’assassinat de Kim Jong-un L’interview. En 2016 et 2017, les pirates informatiques russes connus sous le nom de Sandworm, qui fait partie de l’agence de renseignement militaire GRU du pays, ont utilisé de faux rançongiciels pour détruire des ordinateurs à travers l’Ukraine – et finalement des centaines d’autres réseaux à travers le monde – tout en se faisant passer pour des cybercriminels à la recherche de profit. (Des pirates non identifiés semblent avoir ciblé des systèmes en Ukraine avec les mêmes astuces, à une échelle beaucoup plus petite, plus tôt ce mois-ci.)