Comme décrit par les journalistes ayant participé à l'enquête, les "Vulkan Files" constituent un ensemble de milliers de pages de documents secrets révélant comment les ingénieurs de NTC Vulkan ont travaillé pour l'armée et les services de renseignement russes afin de soutenir les opérations de piratage, de former des agents avant des attaques contre des infrastructures nationales, de diffuser de la désinformation et de contrôler des sections d'Internet. L'enquête a été menée par des journalistes de Der Spiegel et du groupe d'investigation Paper Trail Media, basé à Munich, ainsi que The Guardian, ZDF, Der Standard (Autriche), le groupe suisse Tamedia, etc.
Le Washington Post, Süddeutsche Zeitung et Le Monde ont également participé à l'enquête. Les travaux de NTC Vulkan seraient liés au service fédéral de sécurité ou FSB, l'agence d'espionnage nationale, aux divisions opérationnelles et de renseignement des forces armées russes, connues sous le nom de GOU et GRU, et au SVR, l'organisation russe de renseignement extérieur. Selon les journalistes, le lanceur d'alerte a expliqué qu'il a choisi de divulguer les documents secrets russes en raison de la colère suscitée par l'invasion "sanglante" de l'Ukraine par la Russie et du désir de voir les informations révéler une partie de ce qui se passe à l'intérieur de la Russie.
Le lanceur d'alerte aurait déclaré au consortium de journalistes : « les gens devraient être conscients des dangers que cela représente. En raison des événements en Ukraine, j'ai décidé de rendre ces informations publiques. L'entreprise fait de mauvaises choses et le gouvernement russe est lâche et a tort. Je suis en colère contre l'invasion de l'Ukraine et les terribles événements qui s'y déroulent. J'espère que vous pourrez utiliser ces informations pour montrer ce qui se passe derrière les portes closes ». Des journalistes travaillant pour au moins 11 médias auraient participé à l'analyse des documents, ainsi que des sociétés de cybersécurité.
Il est important de noter que la société informatique russe NTC Vulkan n'a rien à voir avec la plateforme graphique 3D Vulkan, qui est un projet open source supervisé par le groupe à but non lucratif Khronos. Selon les enquêteurs, les documents permettent de faire la lumière sur de nombreuses cyberattaques dans le monde et dont les Russes avaient été soupçonnés d'en être les auteurs. Ils montreraient en détail comment ces attaques sont préparées et organisées, et comment Vladimir Poutine, avec l'aide d'entreprises privées, planifie et met en œuvre de manière agressive des opérations de piratage dans le monde entier. En voici deux exemples :
- un document établirait un lien entre un outil de cyberattaque Vulkan et le célèbre groupe de pirates Sandworm, qui, selon le gouvernement américain, a provoqué à deux reprises des pannes d'électricité en Ukraine, perturbé les Jeux Olympiques en Corée du Sud et lancé NotPetya, le logiciel malveillant le plus destructeur de l'histoire sur le plan économique. Sous le nom de code Scan-V, ce logiciel explorerait Internet à la recherche de vulnérabilités, qui sont ensuite stockées pour être utilisées dans de futures cyberattaques ;
- un autre système, connu sous le nom d'Amezit, constituerait un plan de surveillance et de contrôle d'Internet dans les régions placées sous le commandement de la Russie, et permet également la désinformation par l'intermédiaire de faux profils de médias sociaux ;
- un troisième système construit par Vulkan - appelé Crystal-2V - serait un programme de formation pour les cyberopérateurs aux méthodes requises pour faire tomber les infrastructures ferroviaires, aériennes et maritimes. Un fichier expliquant le logiciel indiquerait : « le niveau de confidentialité des informations traitées et stockées dans le produit est "Top Secret" ».
Le consortium de journaliste affirme que les documents divulgués comprennent également des cartes de l'infrastructure énergétique américaine. À ce propos, en mars 2022, le FBI a déclaré que des pirates informatiques russes ont scanné les systèmes des sociétés d'énergie et d'autres infrastructures critiques aux États-Unis. Selon l'agence fédérale, cela constitue une menace "actuelle" pour la sécurité nationale des États-Unis. En 2020, le ministère américain de la Justice a inculpé six officiers du GRU russe pour avoir prétendument mené des attaques contre les Jeux olympiques de Séoul, l'Ukraine, les élections françaises de 2017 et d'autres incidents.
Les fichiers divulgués lieraient également NTC Vulkan à un groupe de pirates russes appelé APT29 ou CozyBear, sur la base d'informations fournies par des chercheurs en sécurité de Google. Mandiant, une société américaine de cybersécurité appartenant à Google, a participé à l'interprétation des documents divulgués par le lanceur d'alerte et considère qu'ils sont probablement, mais pas sans équivoque, légitimes. « Les documents détaillent les exigences des projets contractés avec le ministère russe de la Défense, y compris dans au moins un cas pour l'unité 74455 du GRU, également connue sous le nom d'équipe Sandworm », note Mandiant.
« Ces projets comprennent des outils, des programmes de formation et une plateforme d'équipe rouge pour la pratique de divers types de cyberopérations offensives, y compris l'espionnage, les OI [opérations d'information] et les attaques de technologie opérationnelle (OT) », ajoute-t-il. Gabby Roncone, chercheur en cybersécurité chez Mandiant, explique que les projets associés à NTC Vulkan couvrent le cyberespionnage, les opérations d'information et le ciblage des technologies opérationnelles (infrastructures critiques). Les fichiers datent de 2016 à 2021 et les enquêteurs affirment que de telles fuites en provenance de Moscou sont extrêmement rares.
« L'intérêt de ces projets sous-traités par NTC Vulkan est qu'ils semblent tous soutenir les objectifs stratégiques plus larges de la confrontation des informations. À mon avis, la stratégie de confrontation des informations a largement influencé les cyberopérations de la Russie en Ukraine », affirme Roncone. Selon les analystes, la Russie est engagée dans un conflit permanent avec ce qu'elle considère comme son ennemi, l'Occident, notamment les États-Unis, le Royaume-Uni, l'UE, l'Australie, et la Nouvelle-Zélande, qui ont tous développé leurs propres capacités cyberoffensives classifiées dans le cadre d'une course à l'armement numérique.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">The thing about these projects contracted by NTC Vulkan is that they all seem to support the broader strategic goals of information confrontation. The strategy of information confrontation has largely influenced RU cyber operations in Ukraine in my opinion. <a href="https://t.co/AvpWZSz7Ul">pic.twitter.com/AvpWZSz7Ul</a></p>— Gabby Roncone 🌻 @gabr@infosec.exhange (@gabby_roncone) <a href="https://twitter.com/gabby_roncone/status/1641457983166005249?ref_src=twsrc%5Etfw">March 30, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
« La Russie est dans nos réseaux », prévient Wolfgang Wien, chef adjoint du Bundesnachrichtendienst (BND), l'agence allemande de renseignement extérieur. Certains documents de la fuite contiendraient ce qui semble être des exemples illustratifs de cibles potentielles. L'un d'eux contiendrait une carte montrant des points à travers les États-Unis. Un autre contiendrait les coordonnées d'une centrale nucléaire en Suisse.
Sources : Paper Trail Media, APT29, Mandiant
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l'enquête des journalistes ? Avez-vous des réserves ?
Que pensez-vous des outils et logiciels décrits dans les documents ayant fait l'objet de fuite ?
Que pensez-vous des prétendus plans de la Russie visant à contrôler Internet et à mener une cyberguerre contre l'Occident ?
Selon vous, ces agissements contribuent-ils à protéger les populations ? Quels sont les risques des cyberguerres pour les citoyens ?
Quels sont les potentiels impacts des cyberguerres sur l'Internet lui-même ?
Voir aussi
Des pirates informatiques russes ont scanné les systèmes des sociétés d'énergie et d'autres infrastructures critiques aux États-Unis, et constituent une menace "actuelle" pour la sécurité nationale
Des pirates informatiques auraient accédé au réseau de Colonial Pipeline en utilisant un mot de passe compromis, obtenu potentiellement sur le dark web
La Russie prévoit des "cyberattaques massives" contre les infrastructures critiques, met en garde l'Ukraine et les attaques DDoS sont également susceptibles d'augmenter selon l'avis