Les autorités américaines se heurtent à un obstacle majeur pour tenir les pirates informatiques responsables d'une vague de cyberattaques. Une raison majeure : les attaquants sont dominés par des cybercriminels russophones qui sont protégés – et parfois employés – par les services de renseignement russes, selon des chercheurs en sécurité, les forces de l'ordre américaines et l'administration Biden. Selon un rapport publié en mai par Defense One, les codeurs russes n'ont pas d'autre choix que de travailler avec leur gouvernement, qui, de son côté, nie toute connaissance de leurs activités. C'est pourquoi les activités de piratage ne montrent aucun signe de ralentissement.Les récentes attaques de ransomware très médiatisées ont rendu plus urgents les efforts du gouvernement américain pour combattre les pirates informatiques liés à la Russie, qui ont perturbé l'approvisionnement en carburant de la côte Est des États-Unis, fait craindre une pénurie de viande à l'échelle nationale et exposé les fichiers sensibles d'une force de police de Californie du Sud. Le problème, selon les responsables du ministère américain de la Justice, est que le Kremlin pense qu'il est avantageux de permettre à ces pirates de cibler les intérêts américains, en recueillant au passage de précieux renseignements.
Bien avant ces attaques, les criminels russes qui ont orchestré le piratage de SolarWinds ont obtenu l'accès à un compte de marketing en ligne de l'USAID, ce qui a permis au groupe d'envoyer des courriels d'apparence officielle à un autre groupe de victimes potentielles, a déclaré Microsoft en mai. Les responsables russes ont rapidement nié toute implication, mais les analystes estiment que cela ne fait qu'illustrer la façon dont le Kremlin utilise des groupes ostensiblement privés pour créer un déni, un problème qui risque de perdurer.
Le groupe, Nobelium, a eu accès au compte de l'USAID chez Constant Contact, une société de marketing en ligne, a écrit Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, dans un billet de blog. Se faisant passer pour des expéditeurs de l'USAID, le groupe a pu envoyer des courriels liés à des logiciels malveillants à quelque 3 000 adresses électroniques dans 150 organisations.
Burt a écrit à l’époque : « Nobelium, originaire de Russie, est le même acteur que celui à l'origine des attaques contre les clients de SolarWinds en 2020. Ces attaques semblent être une continuation des multiples efforts de Nobelium pour cibler les agences gouvernementales impliquées dans la politique étrangère dans le cadre d'efforts de collecte de renseignements ».
La Maison-Blanche a attribué le piratage de SolarWinds au gouvernement russe, en particulier au SVR, un service de renseignement étranger issu du KGB, et a imposé des sanctions en réponse. Mais le Kremlin a nié toute implication. Il l'a encore fait en mai en réponse au piratage de l'USAID.
Defense One a rapporté que l'utilisation de groupes criminels comme couverture pour des piratages soutenus par l'État est une marque de fabrique des opérations de renseignement et d'influence russes qui ne date pas d’aujourd’hui. Depuis 2016, cela n'a fait qu'empirer, a déclaré le journaliste d'investigation indépendant russe Andrei Soldatov au site d’information, qui se concentre sur la défense et de la sécurité nationale des États-Unis.
Selon Soldatov, la Russie peut se vanter d'avoir un certain nombre d'informaticiens et de codeurs hautement qualifiés qui dirigent des entreprises de logiciels. Mais le marché des logiciels russes à l'échelle internationale est très étroit, en grande partie parce que les clients potentiels supposent que ces entreprises doivent travailler avec le gouvernement russe, ce qui signifierait potentiellement utiliser des logiciels développés en partenariat avec une nation adverse, a rapporté Defense One.
L'exemple le plus clair est celui de Kaspersky, qui était autrefois un exemple brillant de la réussite russe dans le domaine des technologies. La société russe de cybersécurité a connu des moments difficiles aux États-Unis, où l'on affirmait que ses logiciels recherchaient et volaient des documents présentant un intérêt pour le Kremlin. L'utilisation de ses produits par les agences gouvernementales américaines ayant été interdite, l’entreprise a été contrainte de fermer son bureau de Washington en 2017 parce qu'elle ne pouvait plus travailler avec les autorités américaines. Les entreprises privées ont suivi l'exemple du gouvernement et se sont détournées de l'entreprise.
« Nous fermons nos installations à Arlington, car l'opportunité pour laquelle le bureau a été ouvert et doté en personnel n'est plus viable », a déclaré aux médias un porte-parole de Kaspersky à l’époque.
Sous-traiter à des employés des sociétés de logiciels russes le piratage de cibles occidentales
Selon Soldatov, la meilleure, voire la seule, source de revenus pour les fabricants de logiciels russes est devenue leur propre gouvernement. C’est ainsi que naissent des groupes comme Nobelium ou DarkSide, le groupe criminel russe à l'origine du piratage de Colonial Pipeline, d’après lui. En effet, les membres de ces "groupes criminels" ont très souvent des emplois de jour dans des sociétés de logiciels russes. Le gouvernement russe sous-traite à des particuliers le piratage de cibles occidentales. Ce contrat de sous-traitance s'accompagne souvent d'un contrat plus conventionnel pour l'entreprise, portant sur des produits ou des services plus bénins.
« Vous pouvez avoir une entreprise qui est célèbre pour la création des logiciels pour la défense, très bonne dans la prévention des DDoS, n’est-ce pas ? Cela signifie qu'ils sont probablement bons dans ce domaine », a déclaré Soldatov. Les services de renseignement russes peuvent donc approcher quelqu'un de cette entreprise et lui dire : « Regardez, il y a un très bon contrat pour vous. Peut-être que vous pouvez nous aider avec quelque chose ? Mais c'est une sorte de secret, hors des livres ».
De cette façon, selon Soldatov, le gouvernement russe est devenu le seul marché pour les codeurs russes. C'est en partie la raison pour laquelle les codeurs russes qui ne font pas officiellement partie de l'armée sont pris dans les campagnes de piratage russes et se retrouvent sanctionnés ou inculpés par le ministère américain de la Justice. Et les codeurs russes, a-t-il dit, n'ont pas peur d'être extradés aux États-Unis, mais ils ont plutôt bien plus peur du gouvernement russe.
Les pays peuvent se plaindre au gouvernement russe des actions de ces groupes criminels, par l'intermédiaire du Centre national russe de coordination des incidents informatiques, qui existe depuis trois ans. Mais comme il est géré par le FSB russe, c'est un peu comme se plaindre au loup local que quelqu'un vous vole vos moutons. Personne ne prend cela au sérieux, a déclaré Soldatov.
Une épidémie mondiale ransomware paralyse les collectivités locales, les hôpitaux, les districts scolaires et les entreprises en brouillant leurs fichiers de données jusqu'à ce qu'ils paient la rançon. Les forces de l'ordre sont largement impuissantes à l'enrayer.
En avril, alors que les États-Unis ont imposé des sanctions à la Russie pour ses activités malveillantes, notamment le piratage informatique soutenu par l'État, le département du Trésor a déclaré que les services de renseignement russes avaient favorisé les attaques par ransomware en cultivant et en cooptant des pirates informatiques criminels et en leur offrant un refuge sûr. Les dommages causés par les ransomwares se chiffrant désormais en dizaines de milliards de dollars, l'ancien chef des services de renseignement britanniques, Marcus Willett, a estimé à l’époque que ce fléau était « sans doute plus dommageable sur le plan stratégique que le cyberespionnage d'État ».
Les législateurs américains ont cherché des moyens de dissuader ces pirates officiellement non officiels. « Tolérer une activité criminelle à l'intérieur de ses frontières devrait être un délit punissable. Et je pense qu'il n'y a pas un moineau qui tombe en Russie sans que Poutine ne soit au courant », a déclaré le sénateur Angus King lors d'un événement Defense One-NextGov en mai.
Le sénateur King a demandé avec insistance l'adoption de la loi sur la cyberdiplomatie. Ce projet de loi conduirait à la « création d'un bureau au sein du Département d'État, dirigé par une personne de niveau ambassadeur... confirmée par le Sénat, dont la responsabilité est de représenter les États-Unis et de travailler à l'établissement de normes et de standards internationaux ». Selon lui, cela permettrait au gouvernement américain de mieux travailler avec d'autres gouvernements pour infliger des sanctions en cas de comportement pirate.
« Si quelqu'un est un cybercriminel en Russie, je veux qu'il ne puisse pas se rendre à Monte-Carlo ou à Paris ainsi qu'à Miami et à New York », a-t-il déclaré.
En juin, les États-Unis ont décidé de mettre en place un effort, pour traiter les attaques par ransmwares avec la même priorité que les cas de terrorisme, qui sera piloté par une force opérationnelle constituée de diverses composantes du Département de la Justice des États-Unis. Cette nouvelle unité appliquera pour la première fois aux opérations de rançongiciels le même modèle d’investigation réservé aux terroristes. En outre, le président russe, Vladimir Poutine, a déclaré en juin que son pays est prêt à extrader des cybercriminels vers les États-Unis sur une base réciproque.
Source : Defense One
Et vous ?
Qu’en pensez-vous ? Le gouvernement russe sous-traite à des employés des sociétés de logiciels russes le piratage de cibles occidentales, selon Andrei Soldatov. Quels commentaires en faites-vous ? Voir aussi :
La cyberattaque contre Kaseya, la plus importante attaque par ransomware au monde, a touché des milliers d'entreprises dans 17 pays ; les hackers réclament 70 millions de dollars Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées Les USA vont désormais traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme, en leur appliquant pour la première fois le même modèle d'investigation Une plateforme Cloud classifiée de l'OTAN a été compromise, les pirates ont tenté d'obtenir une rançon en proposant de ne pas divulguer les données 
Envoyé par Stéphane le calme
