Un rapport indique que les pirates russes n’ont pas réduit leurs efforts d’espionnage.
WASHINGTON — Les pirates d’élite de l’État russe à l’origine de la vaste campagne de cyberespionnage SolarWinds de l’année dernière ne se sont guère relâchés cette année, réussissant à infiltrer de nombreuses agences gouvernementales américaines et alliées ainsi que des groupes de réflexion sur la politique étrangère avec une habileté et une discrétion consommées, a rapporté lundi une importante société de cybersécurité.
À l’occasion de l’anniversaire de la divulgation publique des intrusions de SolarWinds, Mandiant a déclaré que les pirates associés à l’agence de renseignement russe SVR ont continué à voler des données « pertinentes pour les intérêts russes » avec beaucoup d’efficacité en utilisant des techniques nouvelles et furtives qu’elle a détaillées dans un rapport essentiellement technique destiné à aider les professionnels de la sécurité à rester vigilants.
C’est Mandiant, et non le gouvernement américain, qui a divulgué SolarWinds.
Bien que le nombre d’agences gouvernementales et d’entreprises piratées par le SVR soit moins important cette année que l’année dernière, où une centaine d’organisations avaient été atteintes, il est difficile d’évaluer les dégâts, a déclaré Charles Carmakal, directeur technique de Mandiant. Globalement, l’impact est assez sérieux. « Les entreprises qui se font pirater perdent aussi des informations ».
« Tout le monde ne divulgue pas le ou les incidents parce qu’ils ne sont pas toujours obligés de le faire légalement », a-t-il ajouté, ce qui complique l’évaluation des dommages.
Le cyberespionnage russe s’est déroulé, comme toujours, dans l’ombre, alors que le gouvernement américain était accaparé en 2021 par une autre cybermenace, éminemment « bruyante » et qui fait la une des journaux : les attaques par ransomware lancées non pas par des pirates d’État mais par des bandes criminelles.
Il se trouve que ces gangs sont largement protégés par le Kremlin.
Les conclusions de Mandiant font suite à un rapport publié en octobre par Microsoft, selon lequel les pirates, dont le groupe de coordination est appelé Nobelium, continuent d’infiltrer les agences gouvernementales, les groupes de réflexion sur la politique étrangère et d’autres organisations s’intéressant aux affaires russes par l’intermédiaire des sociétés de services en nuage et des fournisseurs de services gérés dont ils dépendent de plus en plus.
Mandiant tire son chapeau aux chercheurs de menaces de Microsoft dans le rapport.
Selon les chercheurs de Mandiant, les pirates russes « continuent d’innover et d’identifier de nouvelles techniques et de nouveaux savoir-faire » qui leur permettent de s’attarder dans les réseaux des victimes, d’entraver la détection et de brouiller les tentatives d’attribution des piratages. En bref, les hackers d’élite russes soutenus par l’État sont plus rusés et adaptables que jamais.
Mandiant n’a pas identifié les victimes individuelles ni décrit les informations spécifiques qui ont pu être volées, mais a indiqué que des « entités diplomatiques » non spécifiées ayant reçu des courriels de phishing malveillants figuraient parmi les cibles.
Selon les chercheurs, les pirates ont souvent emprunté le chemin de moindre résistance vers leurs cibles, à savoir les services informatiques en nuage. De là, ils utilisaient des informations d’identification volées pour infiltrer les réseaux.
Le rapport décrit comment, dans un cas, ils ont pu accéder au système Microsoft 365 d’une victime grâce à une session volée. Et, selon le rapport, les pirates s’appuyaient régulièrement sur des techniques de pointe pour couvrir leurs traces.
Une technique astucieuse évoquée dans le rapport illustre le jeu permanent du chat et de la souris qu’implique l’espionnage numérique.
Les pirates mettent en place des têtes de pont d’intrusion à l’aide d’adresses IP, une désignation numérique qui identifie l’emplacement sur l’Internet, qui sont physiquement situées à proximité d’un compte qu’ils essaient de violer – dans le même bloc d’adresses, par exemple, que le fournisseur d’accès Internet local de la personne.
Il est donc très difficile pour les logiciels de sécurité de détecter un pirate utilisant des informations d’identification volées et se faisant passer pour une personne essayant d’accéder à son compte professionnel à distance.
Le piratage de SolarWinds a exploité des vulnérabilités dans le système de la chaîne d’approvisionnement des logiciels et n’a pas été détecté pendant la majeure partie de l’année 2020, malgré les compromissions dans un grand nombre d’agences fédérales – dont le ministère de la Justice – et des dizaines d’entreprises, principalement des fournisseurs de télécommunications et de technologies de l’information, dont Mandiant et Microsoft.
La campagne de piratage a été baptisée SolarWinds, du nom de la société américaine de logiciels dont le produit a été exploité lors de la première phase d’infection de cette campagne.
L’administration Biden a imposé des sanctions en avril dernier en réponse au piratage, notamment contre six entreprises russes qui soutiennent les efforts cybernétiques du pays.