Un responsable du FBI a déclaré que l'agence avait obtenu plus de 7 000 clés de déchiffrement du ransomware LockBit et a invité les victimes à prendre contact avec son IC3.LockBit est un groupe cybercriminel qui propose des ransomwares en tant que service (RaaS). Le logiciel de ransomware Lockbit proposé par le groupe permet à des acteurs malveillants prêts à payer pour l'utiliser de mener des attaques selon deux tactiques : non seulement ils chiffrent les données de la victime et exigent le paiement d'une rançon, mais ils menacent également de les divulguer publiquement si leurs demandes ne sont pas satisfaites.
Lors de la 2024 Boston Conference on Cyber Security (Juin 2024), Bryan Vorndran, directeur adjoint de la Cyber Division du FBI, a déclaré que l'agence pouvait aider les victimes à récupérer les données chiffrées par le ransomware LockBit.
Les victimes ont été invitées à s'adresser au Centre de plaintes pour les crimes sur Internet (IC3) du FBI. Les entités ciblées peuvent remplir un formulaire et seront contactées par l'agence. Les entités dont les fichiers ont été chiffrés par le ransomware LockBit 3.0 peuvent également essayer de récupérer leurs fichiers à l'aide d'un déchiffreur développé par la police japonaise, disponible sur le site web du projet NoMoreRansom.
Le logiciel malveillant LockBit aurait été utilisé dans plus de 2 400 attaques dans le monde, dont plus de 1 800 aux États-Unis. Les cybercriminels ont causé des milliards de dollars de dommages et ont reçu au moins 125 millions de dollars de rançons, mais les autorités policières affirment que les pirates ont conservé les données qu'ils ont volées, même celles des organisations qui ont payé une rançon.
Le ransomware LockBit a été la cible d'une action policière internationale dont les résultats ont été annoncés pour la première fois en février, lorsque des domaines LockBit ont été saisis et que des suspects ont été arrêtés. Les cybercriminels sont restés inflexibles, créant de nouveaux sites de fuite et continuant à annoncer de nouvelles victimes.
D'autre part, les autorités ont démasqué le cerveau présumé de l'opération. Dimitry Yuryevich Khoroshev, un ressortissant russe de 31 ans, a été inculpé et sanctionné. Le gouvernement américain a offert une récompense de 10 millions de dollars pour toute information sur les dirigeants de LockBit. M. Vorndran, du FBI, a déclaré que M. Khoroshev avait tenté de convaincre les autorités de le ménager en dénonçant ses concurrents, en citant d'autres opérateurs de ransomware-as-a-service, ajoutant : "Nous ne le ménagerons pas".
Voici les points importants de la déclaration de Bryan Vorndran lors de la conférence 2024 Boston sur la cybersécurité :
Je voudrais commencer par évoquer brièvement la manière dont le FBI met en œuvre sa stratégie pour perturber nos cyberadversaires. Tout d'abord, compte tenu de l'histoire du FBI, il n'est pas surprenant que l'un de nos principaux objectifs soit d'enquêter sur les cyberactivités et d'en attribuer la cause afin de perturber les cybercriminels et d'augmenter le coût de leurs opérations. En définitive, nous voulons punir les cybercriminels et les mettre hors-jeu.
Ensuite, nous devons recueillir et rendre opérationnels les renseignements nationaux afin de favoriser la récupération des victimes et de soutenir l'activité opérationnelle ou, comme nous le disons, nous devons exercer une pression sur les menaces communes auxquelles nous sommes confrontés. Nous exerçons une pression sur ces menaces communes en lançant des opérations conjointes et séquencées et des opérations en réseau pour riposter aux cyberadversaires à partir d'une position nationale et comme point d'appui pour l'engagement des partenaires de l'USIC [U.S. Intelligence Community]. Il s'agit d'une approche "tous les outils, tous les partenaires". Nous cherchons à nous associer à des partenaires nationaux et internationaux, tant dans le secteur public que dans le secteur privé. C'est ainsi que nous avons l'impact le plus important sur nos adversaires.
Enfin, la dernière façon de mettre en œuvre la stratégie cybernétique du FBI est peut-être la plus importante : l'engagement des victimes. Nous devons apporter une réponse rapide et complète à la menace et un soutien aux victimes à la suite d'intrusions cybernétiques importantes, alors quelles sont les autorités qui nous permettent de faire notre travail.
Brièvement :
La quasi-totalité des criminels qui développent des logiciels malveillants sophistiqués pour permettre des attaques par ransomware sont basés dans des pays russophones et opèrent comme des syndicats du crime organisé, semblables aux éléments traditionnels du crime organisé. Ils ont l'esprit d'entreprise et ont réussi à abaisser les barrières à l'entrée grâce au ransomware en tant que service. Ce modèle d'entreprise repose sur quatre services clés : l'infrastructure, les communications, les logiciels malveillants et la monnaie.
En ce qui concerne le service clé des logiciels malveillants, des codeurs de logiciels malveillants hautement qualifiés développent des logiciels malveillants de plus en plus sophistiqués. Leur modèle d'affiliation permet à des criminels moins compétents sur le plan technique, qui ne sont pas connus des dirigeants de l'entreprise, de déployer des logiciels malveillants très sophistiqués pour leur profit personnel, tout en reversant un pourcentage de leurs recettes aux codeurs de logiciels malveillants les plus compétents.
L'objectif de toute organisation devrait être de prévenir ces attaques, et les efforts de prévention devraient être proportionnels au temps d'indisponibilité acceptable. Si le temps d'indisponibilité acceptable est d'une journée, l'intensification des efforts de prévention doit être une priorité absolue. Si aucune mesure efficace n'est prise avant la violation, une organisation peut se retrouver entièrement dépendante de l'honnêteté et de l'intégrité des mauvais acteurs pour récupérer ses données.
Parlons de l'identification de la cible. Les acteurs des ransomwares évaluent trois éléments clés.
En d'autres termes, qui ne dispose pas d'une bonne défense nette, qui est disposé à payer et qui subira l'impact économique le plus important du chiffrement de ses systèmes clés ? Les attaques par ransomware sont presque toujours couplées à un vol de données - que nous appelons double extorsion - ou à un vol de données et à un harcèlement des victimes et des responsables de l'entreprise, appelé triple extorsion.
Permettez-moi de faire une remarque supplémentaire : lorsque des entreprises sont victimes d'extorsion et choisissent de payer pour empêcher la fuite de données, elles paient pour empêcher la divulgation de données dans l'immédiat, et non dans le futur. Même si vous récupérez les données des mains des criminels, vous devez supposer qu'elles peuvent un jour être divulguées, ou que vous pouvez un jour faire l'objet d'une nouvelle extorsion pour les mêmes données.
Lorsque nous nous attaquons aux finances, à l'infrastructure et aux acteurs de la cybercriminalité, nous nous concentrons tout particulièrement sur la perturbation des services clés. L'une des grandes avancées de la spécialisation est que les codeurs malveillants peuvent écrire des logiciels malveillants et en vendre l'accès à d'autres criminels qui souhaitent les utiliser pour attaquer ou infecter les systèmes informatiques de leurs victimes. En nous attaquant à ce service clé, nous pouvons avoir un impact massif sur la cybercriminalité.
Il y a tout juste une semaine, nos bureaux locaux de Charlotte, Indianapolis, Jacksonville, Los Angeles et Cleveland ont collaboré avec le service d'enquête criminelle de la défense et les services secrets américains, ainsi qu'avec des partenaires internationaux du Danemark, de France, d'Allemagne et des Pays-Bas, pour mener une opération technique contre quatre groupes qui proposent des logiciels malveillants en tant que service, dans le cadre de la première opération de ce type jamais réalisée.
Cette opération, baptisée Endgame, a permis de vaincre de nombreuses variantes de logiciels malveillants, de mettre hors service plus de 100 serveurs et de démanteler l'infrastructure de quatre logiciels malveillants de premier plan, responsables de centaines de millions de dollars de dommages et ayant même compromis le système en ligne de soins intensifs dont un hôpital avait besoin pour maintenir ses patients en vie.
En outre, les cinq pays qui ont mené l'opération technique ont collaboré avec les services répressifs du Portugal, de l'Ukraine et du Royaume-Uni, ainsi qu'avec Europol et Eurojust, afin d'arrêter et d'interroger des suspects, de procéder à des perquisitions et de saisir ou de mettre hors service des serveurs dans le monde entier. Nous continuons à recueillir des informations sur cette opération, mais c'est déjà un grand succès, ne serait-ce que pour la suppression des logiciels malveillants que ces groupes vendaient à d'autres criminels.
N'oublions pas non plus le cheval de Troie d'accès à distance Warzone, qui a fait l'objet d'une enquête par le bureau local du FBI à Boston, avec le soutien du bureau du procureur des États-Unis ici à Boston. Le RAT Warzone - acronyme anglais de Remote Access Trojan - permettait aux cybercriminels de parcourir les systèmes de fichiers des victimes, de faire des captures d'écran, d'enregistrer les frappes au clavier, de voler les noms d'utilisateur et les mots de passe des victimes et d'observer ces dernières par le biais de leurs caméras web, le tout à leur insu et sans leur permission.
En février 2024, la Boston Cyber Task Force du FBI a mené une opération séquentielle conjointe avec les autorités du Nigeria et de Malte qui comprenait cinq lignes d'action :
Cette année, le FBI a également mené une opération complexe contre LockBit, une vaste opération qui fonctionnait selon un modèle de ransomware en tant que service.
LockBit a été créé par un codeur russe nommé Dimitri Khoroshev. Il conserve l'image d'un pirate de l'ombre, utilisant des pseudonymes en ligne tels que "Putinkrab", "Nerowolfe" et "LockBitsupp". Mais en réalité, il s'agit d'un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activités secrètes. Pour l'essentiel, il octroie des licences pour le ransomware LockBit, ce qui permet à des centaines de groupes criminels affiliés de mener des opérations de racket.
En échange de l'utilisation de son logiciel, il reçoit une part de 20 % des rançons qu'ils collectent auprès de personnes et d'entreprises innocentes dans le monde entier. Pour aider ses affiliés à réussir, il leur fournit une assistance en matière d'hébergement et de stockage, en estimant les demandes de rançon optimales et en blanchissant de la cryptomonnaie. Il propose même des réductions pour les clients qui achètent beaucoup.
Ces escroqueries de LockBit fonctionnent de la même manière que les voyous locaux avaient l'habitude de demander de l'argent de protection aux commerçants. Les affiliés de LockBit volent vos données, les verrouillent et exigent un paiement pour vous rendre l'accès à vos données. Si vous payez la rançon, ils vous rendent l'accès à vos données. Mais ils en conservent également une copie et exigent parfois un second paiement pour ne pas divulguer vos informations personnelles ou confidentielles en ligne.
Depuis septembre 2019, Khoroshev a loué son virus et a permis à ses affiliés d'extorquer des personnes dans le monde entier. Ils ont utilisé le ransomware LockBit pour attaquer des personnes et des organisations dans les domaines des services financiers, de l'alimentation et de l'agriculture, de l'éducation, de l'énergie, des services gouvernementaux et d'urgence, des soins de santé, de l'industrie manufacturière et des transports. En 2022, LockBit était la variante de ransomware la plus déployée dans le monde. Il était utilisé par des centaines d'affiliés sans lien entre eux et était responsable de plus de 1 800 attaques aux États-Unis et de plus de 2 400 attaques dans le monde, causant des milliards de dollars de dommages aux victimes.
Le démantèlement de LockBit et de ses filiales est devenu un effort mondial, impliquant la collaboration du FBI avec des agences de 10 autres pays, en particulier l'Agence nationale britannique de lutte contre la criminalité, pendant plus de trois ans. En février, nous avons annoncé les résultats d'une opération technique majeure visant à perturber et à saisir l'infrastructure, ainsi qu'à imposer des sanctions à LockBit et à ses affiliés. Nous avons constaté que LockBit et ses affiliés détenaient toujours des données qu'ils avaient dit aux victimes de LockBit avoir supprimées - après avoir reçu des paiements de rançon.
M. Khoroshev a ensuite tenté d'obtenir notre indulgence en dénonçant ses concurrents, en nommant d'autres opérateurs de ransomware-as-a-service. C'est donc un peu comme si l'on avait affaire à des bandes criminelles organisées, où le chef se couche et demande de l'indulgence. Nous ne serons pas tendres avec lui. Le mois dernier, le ministère de la justice a levé les scellés sur les accusations de fraude, d'extorsion et d'autres délits portées contre lui et six co-conspirateurs. Au total, 26 chefs d'accusation ont été retenus contre Khoroshev. Le FBI poursuivra sans aucun doute ses efforts pour le traduire en justice ici, aux États-Unis.
En outre, grâce à la perturbation continue de LockBit, nous disposons maintenant de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne. Nous tendons la main aux victimes connues de LockBit et encourageons toute personne qui pense avoir été victime à visiter notre centre de plaintes contre la criminalité sur Internet (Internet Crime Complaint Center) à l'adresse ic3.gov.
Je voudrais évoquer brièvement quelques réflexions sur l'écosystème cybercriminel. La chose la plus importante que vous puissiez faire, c'est de bien faire les choses de base et de les répéter. Des pratiques de cybersécurité bien établies - notamment l'authentification multifactorielle et la gestion des mots de passe, la journalisation efficace et la gestion des journaux, la gestion des vulnérabilités et des correctifs, et le maintien de sauvegardes aériennes, chiffrés et à jour - doivent être mises en œuvre de manière reproductible par l'ensemble de l'organisation.
Ensuite, il faut bien planifier. Ces plans doivent couvrir la continuité des activités, la gestion de crise, la reprise après sinistre et la réponse aux incidents d'intrusion informatique. Il est très important que ces plans ne soient pas élaborés et mis en œuvre de manière isolée. Il est également important que ces plans soient mis en œuvre au niveau opérationnel, au niveau de la direction et au niveau du conseil d'administration. L'objectif de ces exercices doit être de développer une synergie entre les décideurs ; et d'affiner votre processus de prise de décision.
D'après notre expérience, les exercices doivent se concentrer sur trois domaines clés :
Avec les courtiers d'accès initial, les criminels ont la possibilité de louer autant de puissance qu'ils en ont besoin pour commettre leurs crimes et de la conserver aussi longtemps qu'ils en ont besoin.
Un autre modèle commercial pour les bots consiste à les regrouper en un réseau de bots massif et puissant, puis à en vendre l'utilisation. La semaine dernière, le FBI, en collaboration avec des partenaires en Thaïlande, à Singapour et en Allemagne, a perturbé le plus grand réseau de zombies et le plus grand service de proxy résidentiel au monde : 911 S5. Ce réseau de zombies avait fait des victimes parmi plus de 19 millions d'adresses IP dans près de 200 pays, dont au moins 600 000 rien qu'aux États-Unis. Il a été utilisé pour commettre des cyberattaques, des fraudes à grande échelle, des exploitations d'enfants, des harcèlements, des alertes à la bombe et des violations des règles d'exportation.
911 S5 aurait permis aux cybercriminels de contourner les systèmes de détection des fraudes financières et de voler des milliards de dollars aux institutions financières, aux émetteurs de cartes de crédit et aux programmes de prêts fédéraux. La plupart des fraudes permises par le botnet ont pris la forme de fausses demandes de fonds de secours en cas de pandémie, profitant des services gouvernementaux à un moment où les plus vulnérables d'entre nous avaient le plus besoin de cette aide. Plus d'un demi-million de demandes de chômage frauduleuses et plus de 47 000 demandes frauduleuses au titre du programme de prêts en cas de catastrophe économique ont ainsi été déposées.
Notre opération technique internationale a permis de saisir les domaines du botnet et 29 millions de dollars en cryptomonnaie. En outre, le Trésor américain a imposé des sanctions et l'administrateur du botnet, YunHe Wang, a été arrêté à l'étranger.
Lorsque nous parlons de ciblage par des États-nations, notre objectif collectif devrait se concentrer sur la détection précoce, l'endiguement et l'éviction. La Chine est la menace la plus prolifique. Les autres acteurs étatiques actifs sont la Russie, l'Iran et la Corée du Nord. Pour les entreprises du secteur privé, la menace étatique englobe l'espionnage d'entreprise, les attaques destructrices, les opérations d'influence et la collecte de renseignements, que ce soit par le biais d'actions adverses directes ou de collectes collatérales.
Comme nous l'avons vu dans SolarWinds, le SVR russe [service de renseignement extérieur russe] a ciblé de manière chirurgicale une poignée d'agences gouvernementales américaines par le biais d'une compromission sophistiquée de la chaîne d'approvisionnement basée sur des logiciels et, ce faisant, a compromis 18 000 entreprises supplémentaires, qui ont toutes été rendues vulnérables.
Je voudrais évoquer brièvement les applications tierces et le risque surdimensionné qu'elles représentent pour des secteurs ou des industries. Imaginons un instant qu'un secteur ou une industrie entière utilise une application tierce de niche, mais courante, pour faciliter ses activités. Cette application tierce courante est représentée par la boîte rouge sur l'écran. Du point de vue d'un adversaire, cibler cette application peut permettre à des criminels ou à un État-nation d'avoir un impact considérable sur l'ensemble d'un secteur ou d'une industrie.
C'est pourquoi, dans les secteurs et les industries, nous devons utiliser le terme pair au lieu de concurrent. Dans le cyberespace, si vous êtes pris pour cible, vos pairs du secteur et de l'industrie le sont aussi. Le partage d'informations avec vos pairs est absolument essentiel pour que des secteurs et des industries entiers soient plus résistants aux cybermenaces.
Revenons aux menaces elles-mêmes. Le vol de propriété intellectuelle (PI) ou d'informations personnelles identifiables (IPI), en particulier par la Chine, reste très probable. La Chine s'empare ensuite de cette propriété intellectuelle ou de ces informations et tente de les monnayer. Nous restons profondément préoccupés par la monétisation de la propriété intellectuelle volée à des fins économiques par la Chine.
Nous pourrions citer des centaines d'exemples, mais l'un d'entre eux a fait l'objet d'un débat public : la tentative de vol par la Chine de la recherche sur le vaccin COVID[-19] auprès de plusieurs universités américaines. Il en va de même dans d'autres domaines de la technologie et de la recherche émergentes, notamment l'intelligence artificielle et l'apprentissage automatique, l'informatique et les communications quantiques, l'énergie propre, etc.
Nous restons également très préoccupés par les compétences développées par les mandataires et les acteurs affiliés à l'État chinois et par leur travail au noir à des fins d'enrichissement personnel. Lorsque les acteurs ne sont pas contrôlés, ils opèrent avec moins de contraintes et chercheront sans aucun doute à tirer un profit personnel de leur travail officieux. Nous avons vu des pirates informatiques parrainés par la Chine compromettre des domaines State.gov des États-Unis pour diverses raisons, dont le profit. Pour réaliser ce gain monétaire, ces pirates parrainés par la Chine ont utilisé des informations nominatives volées.
Ensuite, le "hack and dumps" (piratage et vidage). C'est un terme dont vous n'entendez pas beaucoup parler, mais il s'agit de l'intention de nos adversaires de compromettre votre réseau, d'acquérir des informations personnelles sensibles, puis de les déverser sur l'internet. Il s'agit souvent d'une tentative de promotion d'un avantage concurrentiel. Une question simple à poser à votre équipe est la suivante : Combien de temps faudrait-il à votre organisation pour savoir qu'il existe sur Internet des informations sensibles - ou de la désinformation - la concernant, susceptibles d'influencer l'opinion d'autrui sur notre réputation ou d'avoir un impact direct sur l'évaluation à court ou à long terme de notre entreprise ? Nous devrions également évaluer en interne si nous avons la capacité de détecter le retrait d'informations sensibles de nos réseaux.
Enfin, l'accès à des fins d'attaque. Dans les milieux militaires, on appelle cela "préparer le champ de bataille". Il s'agit de prépositionner des outils et des capacités pour maximiser l'avantage en cas de nécessité d'une attaque future ou de franchissement d'une ligne rouge spécifique. Cet accès est généralement très difficile à détecter, car l'adversaire reste inactif après l'exploitation initiale, ce qui souligne l'importance des tests de pénétration et de la chasse aux menaces. Il s'agit là d'un sujet de discussion très important pour les entreprises actives dans les secteurs des infrastructures critiques, et l'objectif est simple : la détection précoce et l'éviction. C'est le jeu sans fin du chat et de la souris.
Cependant, si l'écosystème et les modèles commerciaux des cybercriminels ont changé et continuent de changer, et si notre approche de la perturbation a changé avec eux, cela ne signifie pas que la menace des États-nations hostiles provenant de la cybernétique a diminué de quelque manière que ce soit, ni que nos efforts pour perturber les opérations des gouvernements hostiles ont ralenti.
Par exemple, en janvier, le bureau local du FBI à Boston a mené l'opération "Dying Ember", un effort international contre les services de renseignement militaire russes : le GRU. C'est cette même agence russe qui est à l'origine de NotPetya et qui a attaqué le réseau électrique ukrainien en 2015, les Jeux olympiques et paralympiques d'hiver en 2018, et qui a mené des attaques contre le pays de Géorgie en 2019.
Souvent, des acteurs sophistiqués comme le GRU utilisent le même type de réseaux de zombies que les criminels, dans le but de brouiller les pistes. En armant des dispositifs et des technologies courants, le gouvernement russe continue de brouiller la ligne de démarcation entre les activités criminelles et ses opérations. Dans le cas présent, le GRU profitait d'un réseau de zombies pour cibler le gouvernement américain, les entreprises de défense autorisées, les alliés de l'OTAN et le réseau ukrainien de transport d'aide.
Notre opération technique autorisée par le tribunal a permis d'expulser le GRU de plus de 1 000 routeurs domestiques et de petites entreprises appartenant à des victimes involontaires dans le monde entier, y compris ici, dans le Massachusetts. Un informaticien et un agent du bureau local du FBI à Boston ont travaillé ensemble pour déterminer comment remédier à la situation sur les routeurs, afin d'éliminer les logiciels malveillants du GRU et d'empêcher les réinfections. Nous avons supprimé les logiciels malveillants installés subrepticement sur plus de 400 routeurs aux États-Unis et les avons protégés contre les nouvelles attaques du GRU. Nous n'aurions pas pu mener à bien cette opération sans les entreprises partenaires, en particulier Microsoft et la Shadowserver Foundation.
En empêchant le GRU d'accéder à un réseau de zombies qu'il utilisait pour mener des cyberopérations dans le monde entier, nous avons contribué à protéger des entreprises et des particuliers qui ne le savaient pas et nous avons mis un frein aux opérations de renseignement de la Russie fondées sur la cybernétique. Alors que le gouvernement russe continue d'être imprudent dans le cyberespace, le gouvernement chinois ne peut être qualifié que d'implacable.
Le gouvernement chinois dispose du plus grand programme cybernétique au monde et continue d'utiliser des outils sophistiqués pour accéder à des endroits où ils ne devraient pas se trouver. Vous avez peut-être entendu parler d'un groupe de pirates informatiques parrainés par la Chine, connu sous le nom de Volt Typhoon. Nous avons découvert des accès persistants du gouvernement chinois dans nos secteurs critiques des télécommunications, de l'énergie, de l'eau et d'autres infrastructures.
Ils se cachaient dans nos réseaux en utilisant des tactiques connues sous le nom de "living off the land", c'est-à-dire en exploitant des outils intégrés qui existent déjà sur les réseaux des victimes pour accomplir leur sinistre travail - des outils que les défenseurs des réseaux s'attendent à voir utilisés, de sorte qu'ils n'éveillent pas les soupçons. Volt Typhoon a également exploité des réseaux de zombies pour dissimuler davantage son activité malveillante et le fait que l'intrusion provenait de Chine. Tout cela dans le but de permettre au gouvernement chinois d'attendre le bon moment pour porter un coup dévastateur.
Lorsque les logiciels malveillants de Volt Typhoon ont été découverts dans des infrastructures critiques, nous nous sommes joints à nos partenaires américains et internationaux - dès le printemps dernier, puis en février dernier - pour rédiger une série d'avis conjoints de cybersécurité sur ce que nous avons vu, en dénonçant les pirates et en partageant des informations techniques que les victimes peuvent utiliser pour se protéger.
Ensuite, nous avons fait suivre ces avertissements d'actions visant les pirates. En collaboration avec ses partenaires du secteur privé, le FBI a été en mesure d'identifier le vecteur de la menace et de mener une opération multi-agences autorisée par la justice pour non seulement supprimer le logiciel malveillant de Volt Typhoon des routeurs qu'il avait infectés à travers les États-Unis, mais aussi pour couper leur connexion à ce réseau de routeurs et empêcher qu'ils ne soient réinfectés. Si l'histoire récente de Volt Typhoon a, à juste titre, fait grand bruit en raison de l'ampleur de l'opération, il n'en reste pas moins que le gouvernement chinois s'en prend à nos infrastructures essentielles de manière à la fois large et implacable.
Qu'en est-il de l'avenir ? Pour la Chine, il s'agit - et il s'agit toujours - d'un simple calcul : Que possèdent les organisations américaines que les Chinois veulent ? Il suffit de consulter le 14e plan quinquennal de la Chine, publié en anglais sur l'internet. Pourquoi est-il publié en anglais ? Pour qu'ils puissent utiliser tous les vecteurs et toutes les parties sympathisantes à voler pour soutenir leur croissance.
Les Chinois veulent la propriété intellectuelle associée aux technologies de l'information, à la biotechnologie, aux nouvelles énergies, aux nouveaux matériaux, à l'équipement haut de gamme, aux véhicules à énergie nouvelle, à l'énergie quantique, à la protection de l'environnement, à l'aérospatiale et à l'équipement maritime - ce sont là des domaines extrêmement ciblés.
Le FBI se concentre également sur les activités actuelles du SVR (service de renseignement extérieur russe) et sur le groupe affilié au ransomware appelé Scattered Spider. Parmi les autres domaines d'intérêt actuels figurent l'intelligence artificielle, l'apprentissage automatique et la nécessité de faire tout ce qui est en notre pouvoir pour garantir la sécurité des élections de 2024.
Au moment de conclure cette journée, j'aimerais réfléchir à quelques points.
Toutes les menaces évoluent, et nos stratégies collectives doivent évoluer avec elles. En 2023, le FBI a connu son année la plus prolifique en termes de perturbations des cyberadversaires, ce dont nous sommes exceptionnellement fiers. Mais nous devons tous nous rappeler que nous sommes confrontés à des adversaires extrêmement compétents en Chine, en Russie, en Iran, en Corée du Nord, ainsi qu'à des cybercriminels basés en Russie qui ont trouvé refuge dans ce pays.
Nous devons également nous rappeler que 85 à 90 % des renseignements les plus puissants sur les cybermenaces se trouvent entre les mains de personnes autres que le gouvernement des États-Unis, ce qui m'amène à un dernier point concernant les partenariats : Aucune de nos perturbations passées ou futures n'est possible sans des partenariats exceptionnels. Nous devons réaliser, et mettre en œuvre ce thème, que nous sommes dans le même bateau. Ensemble, nous sommes plus forts.
Voici ce que je demande à chacun d'entre vous aujourd'hui : Soyez l'ambassadeur de ce message. Nous avons besoin de tout le monde - le secteur privé, les organisations à but non lucratif, le monde universitaire, le gouvernement américain - dans le même bateau, pour ramer dans la même direction. C'est ainsi que nous serons le plus efficaces.
Ensuite, nous devons recueillir et rendre opérationnels les renseignements nationaux afin de favoriser la récupération des victimes et de soutenir l'activité opérationnelle ou, comme nous le disons, nous devons exercer une pression sur les menaces communes auxquelles nous sommes confrontés. Nous exerçons une pression sur ces menaces communes en lançant des opérations conjointes et séquencées et des opérations en réseau pour riposter aux cyberadversaires à partir d'une position nationale et comme point d'appui pour l'engagement des partenaires de l'USIC [U.S. Intelligence Community]. Il s'agit d'une approche "tous les outils, tous les partenaires". Nous cherchons à nous associer à des partenaires nationaux et internationaux, tant dans le secteur public que dans le secteur privé. C'est ainsi que nous avons l'impact le plus important sur nos adversaires.
Enfin, la dernière façon de mettre en œuvre la stratégie cybernétique du FBI est peut-être la plus importante : l'engagement des victimes. Nous devons apporter une réponse rapide et complète à la menace et un soutien aux victimes à la suite d'intrusions cybernétiques importantes, alors quelles sont les autorités qui nous permettent de faire notre travail.
Brièvement :
- Nous sommes habilités par le titre 18 à enquêter sur les intrusions informatiques.
- Nous disposons de pouvoirs spécifiques dans le cadre de la règle 41, qui régit les perquisitions et les saisies, permettant au FBI de saisir les logiciels malveillants installés clandestinement sur les infrastructures américaines par nos adversaires.
- Nous disposons de pouvoirs spécifiques en matière de contre-espionnage qui permettent au FBI d'être pleinement impliqué dans les campagnes menées par des États-nations contre des organisations basées aux États-Unis.
- Enfin, nous disposons de l'autorité de la FISA [Foreign Intelligence Surveillance Act], y compris le titre 1, le titre 3 et la section 702. Les titres I et III de la FISA régissent les activités du FBI à l'intérieur des États-Unis, tandis que la section 702 de la FISA régit la collecte de données par le FBI en dehors des États-Unis. Ces pouvoirs créent logiquement deux moitiés, les enquêtes sur la cybercriminalité et sur la sécurité nationale.
La quasi-totalité des criminels qui développent des logiciels malveillants sophistiqués pour permettre des attaques par ransomware sont basés dans des pays russophones et opèrent comme des syndicats du crime organisé, semblables aux éléments traditionnels du crime organisé. Ils ont l'esprit d'entreprise et ont réussi à abaisser les barrières à l'entrée grâce au ransomware en tant que service. Ce modèle d'entreprise repose sur quatre services clés : l'infrastructure, les communications, les logiciels malveillants et la monnaie.
En ce qui concerne le service clé des logiciels malveillants, des codeurs de logiciels malveillants hautement qualifiés développent des logiciels malveillants de plus en plus sophistiqués. Leur modèle d'affiliation permet à des criminels moins compétents sur le plan technique, qui ne sont pas connus des dirigeants de l'entreprise, de déployer des logiciels malveillants très sophistiqués pour leur profit personnel, tout en reversant un pourcentage de leurs recettes aux codeurs de logiciels malveillants les plus compétents.
L'objectif de toute organisation devrait être de prévenir ces attaques, et les efforts de prévention devraient être proportionnels au temps d'indisponibilité acceptable. Si le temps d'indisponibilité acceptable est d'une journée, l'intensification des efforts de prévention doit être une priorité absolue. Si aucune mesure efficace n'est prise avant la violation, une organisation peut se retrouver entièrement dépendante de l'honnêteté et de l'intégrité des mauvais acteurs pour récupérer ses données.
Parlons de l'identification de la cible. Les acteurs des ransomwares évaluent trois éléments clés.
- Premièrement, qui peut être facilement ciblé ?
- Deuxièmement, qui est susceptible de payer en fonction des dommages causés à la marque ?
- Enfin, qui paiera le plus ?
En d'autres termes, qui ne dispose pas d'une bonne défense nette, qui est disposé à payer et qui subira l'impact économique le plus important du chiffrement de ses systèmes clés ? Les attaques par ransomware sont presque toujours couplées à un vol de données - que nous appelons double extorsion - ou à un vol de données et à un harcèlement des victimes et des responsables de l'entreprise, appelé triple extorsion.
Permettez-moi de faire une remarque supplémentaire : lorsque des entreprises sont victimes d'extorsion et choisissent de payer pour empêcher la fuite de données, elles paient pour empêcher la divulgation de données dans l'immédiat, et non dans le futur. Même si vous récupérez les données des mains des criminels, vous devez supposer qu'elles peuvent un jour être divulguées, ou que vous pouvez un jour faire l'objet d'une nouvelle extorsion pour les mêmes données.
Lorsque nous nous attaquons aux finances, à l'infrastructure et aux acteurs de la cybercriminalité, nous nous concentrons tout particulièrement sur la perturbation des services clés. L'une des grandes avancées de la spécialisation est que les codeurs malveillants peuvent écrire des logiciels malveillants et en vendre l'accès à d'autres criminels qui souhaitent les utiliser pour attaquer ou infecter les systèmes informatiques de leurs victimes. En nous attaquant à ce service clé, nous pouvons avoir un impact massif sur la cybercriminalité.
Il y a tout juste une semaine, nos bureaux locaux de Charlotte, Indianapolis, Jacksonville, Los Angeles et Cleveland ont collaboré avec le service d'enquête criminelle de la défense et les services secrets américains, ainsi qu'avec des partenaires internationaux du Danemark, de France, d'Allemagne et des Pays-Bas, pour mener une opération technique contre quatre groupes qui proposent des logiciels malveillants en tant que service, dans le cadre de la première opération de ce type jamais réalisée.
Cette opération, baptisée Endgame, a permis de vaincre de nombreuses variantes de logiciels malveillants, de mettre hors service plus de 100 serveurs et de démanteler l'infrastructure de quatre logiciels malveillants de premier plan, responsables de centaines de millions de dollars de dommages et ayant même compromis le système en ligne de soins intensifs dont un hôpital avait besoin pour maintenir ses patients en vie.
En outre, les cinq pays qui ont mené l'opération technique ont collaboré avec les services répressifs du Portugal, de l'Ukraine et du Royaume-Uni, ainsi qu'avec Europol et Eurojust, afin d'arrêter et d'interroger des suspects, de procéder à des perquisitions et de saisir ou de mettre hors service des serveurs dans le monde entier. Nous continuons à recueillir des informations sur cette opération, mais c'est déjà un grand succès, ne serait-ce que pour la suppression des logiciels malveillants que ces groupes vendaient à d'autres criminels.
N'oublions pas non plus le cheval de Troie d'accès à distance Warzone, qui a fait l'objet d'une enquête par le bureau local du FBI à Boston, avec le soutien du bureau du procureur des États-Unis ici à Boston. Le RAT Warzone - acronyme anglais de Remote Access Trojan - permettait aux cybercriminels de parcourir les systèmes de fichiers des victimes, de faire des captures d'écran, d'enregistrer les frappes au clavier, de voler les noms d'utilisateur et les mots de passe des victimes et d'observer ces dernières par le biais de leurs caméras web, le tout à leur insu et sans leur permission.
En février 2024, la Boston Cyber Task Force du FBI a mené une opération séquentielle conjointe avec les autorités du Nigeria et de Malte qui comprenait cinq lignes d'action :
- La saisie de quatre domaines ;
- La destruction de l'infrastructure qui facilitait les opérations de Warzone ;
- Le traçage et la saisie de cryptomonnaie ;
- l'achat clandestin du logiciel malveillant ; et
- l'arrestation, la condamnation et le jugement du principal intéressé au Nigéria.
Cette année, le FBI a également mené une opération complexe contre LockBit, une vaste opération qui fonctionnait selon un modèle de ransomware en tant que service.
LockBit a été créé par un codeur russe nommé Dimitri Khoroshev. Il conserve l'image d'un pirate de l'ombre, utilisant des pseudonymes en ligne tels que "Putinkrab", "Nerowolfe" et "LockBitsupp". Mais en réalité, il s'agit d'un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activités secrètes. Pour l'essentiel, il octroie des licences pour le ransomware LockBit, ce qui permet à des centaines de groupes criminels affiliés de mener des opérations de racket.
En échange de l'utilisation de son logiciel, il reçoit une part de 20 % des rançons qu'ils collectent auprès de personnes et d'entreprises innocentes dans le monde entier. Pour aider ses affiliés à réussir, il leur fournit une assistance en matière d'hébergement et de stockage, en estimant les demandes de rançon optimales et en blanchissant de la cryptomonnaie. Il propose même des réductions pour les clients qui achètent beaucoup.
Ces escroqueries de LockBit fonctionnent de la même manière que les voyous locaux avaient l'habitude de demander de l'argent de protection aux commerçants. Les affiliés de LockBit volent vos données, les verrouillent et exigent un paiement pour vous rendre l'accès à vos données. Si vous payez la rançon, ils vous rendent l'accès à vos données. Mais ils en conservent également une copie et exigent parfois un second paiement pour ne pas divulguer vos informations personnelles ou confidentielles en ligne.
Depuis septembre 2019, Khoroshev a loué son virus et a permis à ses affiliés d'extorquer des personnes dans le monde entier. Ils ont utilisé le ransomware LockBit pour attaquer des personnes et des organisations dans les domaines des services financiers, de l'alimentation et de l'agriculture, de l'éducation, de l'énergie, des services gouvernementaux et d'urgence, des soins de santé, de l'industrie manufacturière et des transports. En 2022, LockBit était la variante de ransomware la plus déployée dans le monde. Il était utilisé par des centaines d'affiliés sans lien entre eux et était responsable de plus de 1 800 attaques aux États-Unis et de plus de 2 400 attaques dans le monde, causant des milliards de dollars de dommages aux victimes.
Le démantèlement de LockBit et de ses filiales est devenu un effort mondial, impliquant la collaboration du FBI avec des agences de 10 autres pays, en particulier l'Agence nationale britannique de lutte contre la criminalité, pendant plus de trois ans. En février, nous avons annoncé les résultats d'une opération technique majeure visant à perturber et à saisir l'infrastructure, ainsi qu'à imposer des sanctions à LockBit et à ses affiliés. Nous avons constaté que LockBit et ses affiliés détenaient toujours des données qu'ils avaient dit aux victimes de LockBit avoir supprimées - après avoir reçu des paiements de rançon.
M. Khoroshev a ensuite tenté d'obtenir notre indulgence en dénonçant ses concurrents, en nommant d'autres opérateurs de ransomware-as-a-service. C'est donc un peu comme si l'on avait affaire à des bandes criminelles organisées, où le chef se couche et demande de l'indulgence. Nous ne serons pas tendres avec lui. Le mois dernier, le ministère de la justice a levé les scellés sur les accusations de fraude, d'extorsion et d'autres délits portées contre lui et six co-conspirateurs. Au total, 26 chefs d'accusation ont été retenus contre Khoroshev. Le FBI poursuivra sans aucun doute ses efforts pour le traduire en justice ici, aux États-Unis.
En outre, grâce à la perturbation continue de LockBit, nous disposons maintenant de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne. Nous tendons la main aux victimes connues de LockBit et encourageons toute personne qui pense avoir été victime à visiter notre centre de plaintes contre la criminalité sur Internet (Internet Crime Complaint Center) à l'adresse ic3.gov.
Je voudrais évoquer brièvement quelques réflexions sur l'écosystème cybercriminel. La chose la plus importante que vous puissiez faire, c'est de bien faire les choses de base et de les répéter. Des pratiques de cybersécurité bien établies - notamment l'authentification multifactorielle et la gestion des mots de passe, la journalisation efficace et la gestion des journaux, la gestion des vulnérabilités et des correctifs, et le maintien de sauvegardes aériennes, chiffrés et à jour - doivent être mises en œuvre de manière reproductible par l'ensemble de l'organisation.
Ensuite, il faut bien planifier. Ces plans doivent couvrir la continuité des activités, la gestion de crise, la reprise après sinistre et la réponse aux incidents d'intrusion informatique. Il est très important que ces plans ne soient pas élaborés et mis en œuvre de manière isolée. Il est également important que ces plans soient mis en œuvre au niveau opérationnel, au niveau de la direction et au niveau du conseil d'administration. L'objectif de ces exercices doit être de développer une synergie entre les décideurs ; et d'affiner votre processus de prise de décision.
D'après notre expérience, les exercices doivent se concentrer sur trois domaines clés :
- Premièrement, la communication. Les protocoles de communication interne et externe (et la prise de décision) devraient être le domaine d'intérêt numéro un de tous vos exercices.
- Le deuxième objectif est lié à une attaque de ransomware et se concentre sur la décision de payer ou ne pas payer. Si vous subissez une attaque de ransomware, votre organisation et son conseil d'administration ont-ils des attentes claires quant au moment où vous paierez ou ne paierez pas la rançon en fonction de l'impact sur l'organisation (par exemple, le temps d'indisponibilité) ?
- Le troisième objectif de vos exercices est de déterminer si vous partagerez ou non vos données avec le gouvernement américain. Ce sera probablement le sujet le plus débattu au cours de vos exercices. Et, même s'il y a un accord de partage, le deuxième point d'évaluation sera : Que voulons-nous partager ?
Là encore, les organisations les mieux préparées ont travaillé sur plusieurs scénarios et ont planifié leurs décisions en fonction d'un grand nombre de variables. L'intégration d'un plan d'échange d'informations dans votre plan d'intervention en cas d'incident peut vous aider à vous préparer à impliquer le gouvernement américain le moment venu. Il est important que vos conseillers internes et externes contribuent à ce plan.
Une dernière remarque sur les relations dont vous aurez besoin avant une intrusion : En supposant que vous fassiez appel à un conseil extérieur, quel est le seuil à partir duquel vous devez le faire ? Quelles sont les orientations que vous avez convenues avec le conseiller juridique en matière de partage d'informations ? Avez-vous discuté des rapports que l'avocat demandera à la tierce partie chargée de répondre à l'incident de rédiger (internes uniquement, confidentiels, non confidentiels) ? Qui retiendrez-vous pour l'intervention d'une tierce partie en cas d'incident, et quel est le seuil à partir duquel vous ferez appel à elle ? Ces personnes savent-elles quels rapports il leur sera demandé de rédiger pour la victime ?
Les mêmes questions s'appliquent à votre assureur et à vos négociateurs. En ce qui concerne les assureurs, la règle d'or est la suivante : Votre avocat doit connaître le contenu de votre police d'assurance avant toute intrusion. Cela garantira l'efficacité de la prise de décision en temps de crise. Du point de vue du FBI, nous étudions actuellement les moyens d'impliquer plus globalement le secteur de l'assurance pour nous assurer que nous sommes un multiplicateur de force au bénéfice des victimes.
Avec les courtiers d'accès initial, les criminels ont la possibilité de louer autant de puissance qu'ils en ont besoin pour commettre leurs crimes et de la conserver aussi longtemps qu'ils en ont besoin.
Un autre modèle commercial pour les bots consiste à les regrouper en un réseau de bots massif et puissant, puis à en vendre l'utilisation. La semaine dernière, le FBI, en collaboration avec des partenaires en Thaïlande, à Singapour et en Allemagne, a perturbé le plus grand réseau de zombies et le plus grand service de proxy résidentiel au monde : 911 S5. Ce réseau de zombies avait fait des victimes parmi plus de 19 millions d'adresses IP dans près de 200 pays, dont au moins 600 000 rien qu'aux États-Unis. Il a été utilisé pour commettre des cyberattaques, des fraudes à grande échelle, des exploitations d'enfants, des harcèlements, des alertes à la bombe et des violations des règles d'exportation.
911 S5 aurait permis aux cybercriminels de contourner les systèmes de détection des fraudes financières et de voler des milliards de dollars aux institutions financières, aux émetteurs de cartes de crédit et aux programmes de prêts fédéraux. La plupart des fraudes permises par le botnet ont pris la forme de fausses demandes de fonds de secours en cas de pandémie, profitant des services gouvernementaux à un moment où les plus vulnérables d'entre nous avaient le plus besoin de cette aide. Plus d'un demi-million de demandes de chômage frauduleuses et plus de 47 000 demandes frauduleuses au titre du programme de prêts en cas de catastrophe économique ont ainsi été déposées.
Notre opération technique internationale a permis de saisir les domaines du botnet et 29 millions de dollars en cryptomonnaie. En outre, le Trésor américain a imposé des sanctions et l'administrateur du botnet, YunHe Wang, a été arrêté à l'étranger.
Lorsque nous parlons de ciblage par des États-nations, notre objectif collectif devrait se concentrer sur la détection précoce, l'endiguement et l'éviction. La Chine est la menace la plus prolifique. Les autres acteurs étatiques actifs sont la Russie, l'Iran et la Corée du Nord. Pour les entreprises du secteur privé, la menace étatique englobe l'espionnage d'entreprise, les attaques destructrices, les opérations d'influence et la collecte de renseignements, que ce soit par le biais d'actions adverses directes ou de collectes collatérales.
Comme nous l'avons vu dans SolarWinds, le SVR russe [service de renseignement extérieur russe] a ciblé de manière chirurgicale une poignée d'agences gouvernementales américaines par le biais d'une compromission sophistiquée de la chaîne d'approvisionnement basée sur des logiciels et, ce faisant, a compromis 18 000 entreprises supplémentaires, qui ont toutes été rendues vulnérables.
Je voudrais évoquer brièvement les applications tierces et le risque surdimensionné qu'elles représentent pour des secteurs ou des industries. Imaginons un instant qu'un secteur ou une industrie entière utilise une application tierce de niche, mais courante, pour faciliter ses activités. Cette application tierce courante est représentée par la boîte rouge sur l'écran. Du point de vue d'un adversaire, cibler cette application peut permettre à des criminels ou à un État-nation d'avoir un impact considérable sur l'ensemble d'un secteur ou d'une industrie.
C'est pourquoi, dans les secteurs et les industries, nous devons utiliser le terme pair au lieu de concurrent. Dans le cyberespace, si vous êtes pris pour cible, vos pairs du secteur et de l'industrie le sont aussi. Le partage d'informations avec vos pairs est absolument essentiel pour que des secteurs et des industries entiers soient plus résistants aux cybermenaces.
Revenons aux menaces elles-mêmes. Le vol de propriété intellectuelle (PI) ou d'informations personnelles identifiables (IPI), en particulier par la Chine, reste très probable. La Chine s'empare ensuite de cette propriété intellectuelle ou de ces informations et tente de les monnayer. Nous restons profondément préoccupés par la monétisation de la propriété intellectuelle volée à des fins économiques par la Chine.
Nous pourrions citer des centaines d'exemples, mais l'un d'entre eux a fait l'objet d'un débat public : la tentative de vol par la Chine de la recherche sur le vaccin COVID[-19] auprès de plusieurs universités américaines. Il en va de même dans d'autres domaines de la technologie et de la recherche émergentes, notamment l'intelligence artificielle et l'apprentissage automatique, l'informatique et les communications quantiques, l'énergie propre, etc.
Nous restons également très préoccupés par les compétences développées par les mandataires et les acteurs affiliés à l'État chinois et par leur travail au noir à des fins d'enrichissement personnel. Lorsque les acteurs ne sont pas contrôlés, ils opèrent avec moins de contraintes et chercheront sans aucun doute à tirer un profit personnel de leur travail officieux. Nous avons vu des pirates informatiques parrainés par la Chine compromettre des domaines State.gov des États-Unis pour diverses raisons, dont le profit. Pour réaliser ce gain monétaire, ces pirates parrainés par la Chine ont utilisé des informations nominatives volées.
Ensuite, le "hack and dumps" (piratage et vidage). C'est un terme dont vous n'entendez pas beaucoup parler, mais il s'agit de l'intention de nos adversaires de compromettre votre réseau, d'acquérir des informations personnelles sensibles, puis de les déverser sur l'internet. Il s'agit souvent d'une tentative de promotion d'un avantage concurrentiel. Une question simple à poser à votre équipe est la suivante : Combien de temps faudrait-il à votre organisation pour savoir qu'il existe sur Internet des informations sensibles - ou de la désinformation - la concernant, susceptibles d'influencer l'opinion d'autrui sur notre réputation ou d'avoir un impact direct sur l'évaluation à court ou à long terme de notre entreprise ? Nous devrions également évaluer en interne si nous avons la capacité de détecter le retrait d'informations sensibles de nos réseaux.
Enfin, l'accès à des fins d'attaque. Dans les milieux militaires, on appelle cela "préparer le champ de bataille". Il s'agit de prépositionner des outils et des capacités pour maximiser l'avantage en cas de nécessité d'une attaque future ou de franchissement d'une ligne rouge spécifique. Cet accès est généralement très difficile à détecter, car l'adversaire reste inactif après l'exploitation initiale, ce qui souligne l'importance des tests de pénétration et de la chasse aux menaces. Il s'agit là d'un sujet de discussion très important pour les entreprises actives dans les secteurs des infrastructures critiques, et l'objectif est simple : la détection précoce et l'éviction. C'est le jeu sans fin du chat et de la souris.
Cependant, si l'écosystème et les modèles commerciaux des cybercriminels ont changé et continuent de changer, et si notre approche de la perturbation a changé avec eux, cela ne signifie pas que la menace des États-nations hostiles provenant de la cybernétique a diminué de quelque manière que ce soit, ni que nos efforts pour perturber les opérations des gouvernements hostiles ont ralenti.
Par exemple, en janvier, le bureau local du FBI à Boston a mené l'opération "Dying Ember", un effort international contre les services de renseignement militaire russes : le GRU. C'est cette même agence russe qui est à l'origine de NotPetya et qui a attaqué le réseau électrique ukrainien en 2015, les Jeux olympiques et paralympiques d'hiver en 2018, et qui a mené des attaques contre le pays de Géorgie en 2019.
Souvent, des acteurs sophistiqués comme le GRU utilisent le même type de réseaux de zombies que les criminels, dans le but de brouiller les pistes. En armant des dispositifs et des technologies courants, le gouvernement russe continue de brouiller la ligne de démarcation entre les activités criminelles et ses opérations. Dans le cas présent, le GRU profitait d'un réseau de zombies pour cibler le gouvernement américain, les entreprises de défense autorisées, les alliés de l'OTAN et le réseau ukrainien de transport d'aide.
Notre opération technique autorisée par le tribunal a permis d'expulser le GRU de plus de 1 000 routeurs domestiques et de petites entreprises appartenant à des victimes involontaires dans le monde entier, y compris ici, dans le Massachusetts. Un informaticien et un agent du bureau local du FBI à Boston ont travaillé ensemble pour déterminer comment remédier à la situation sur les routeurs, afin d'éliminer les logiciels malveillants du GRU et d'empêcher les réinfections. Nous avons supprimé les logiciels malveillants installés subrepticement sur plus de 400 routeurs aux États-Unis et les avons protégés contre les nouvelles attaques du GRU. Nous n'aurions pas pu mener à bien cette opération sans les entreprises partenaires, en particulier Microsoft et la Shadowserver Foundation.
En empêchant le GRU d'accéder à un réseau de zombies qu'il utilisait pour mener des cyberopérations dans le monde entier, nous avons contribué à protéger des entreprises et des particuliers qui ne le savaient pas et nous avons mis un frein aux opérations de renseignement de la Russie fondées sur la cybernétique. Alors que le gouvernement russe continue d'être imprudent dans le cyberespace, le gouvernement chinois ne peut être qualifié que d'implacable.
Le gouvernement chinois dispose du plus grand programme cybernétique au monde et continue d'utiliser des outils sophistiqués pour accéder à des endroits où ils ne devraient pas se trouver. Vous avez peut-être entendu parler d'un groupe de pirates informatiques parrainés par la Chine, connu sous le nom de Volt Typhoon. Nous avons découvert des accès persistants du gouvernement chinois dans nos secteurs critiques des télécommunications, de l'énergie, de l'eau et d'autres infrastructures.
Ils se cachaient dans nos réseaux en utilisant des tactiques connues sous le nom de "living off the land", c'est-à-dire en exploitant des outils intégrés qui existent déjà sur les réseaux des victimes pour accomplir leur sinistre travail - des outils que les défenseurs des réseaux s'attendent à voir utilisés, de sorte qu'ils n'éveillent pas les soupçons. Volt Typhoon a également exploité des réseaux de zombies pour dissimuler davantage son activité malveillante et le fait que l'intrusion provenait de Chine. Tout cela dans le but de permettre au gouvernement chinois d'attendre le bon moment pour porter un coup dévastateur.
Lorsque les logiciels malveillants de Volt Typhoon ont été découverts dans des infrastructures critiques, nous nous sommes joints à nos partenaires américains et internationaux - dès le printemps dernier, puis en février dernier - pour rédiger une série d'avis conjoints de cybersécurité sur ce que nous avons vu, en dénonçant les pirates et en partageant des informations techniques que les victimes peuvent utiliser pour se protéger.
Ensuite, nous avons fait suivre ces avertissements d'actions visant les pirates. En collaboration avec ses partenaires du secteur privé, le FBI a été en mesure d'identifier le vecteur de la menace et de mener une opération multi-agences autorisée par la justice pour non seulement supprimer le logiciel malveillant de Volt Typhoon des routeurs qu'il avait infectés à travers les États-Unis, mais aussi pour couper leur connexion à ce réseau de routeurs et empêcher qu'ils ne soient réinfectés. Si l'histoire récente de Volt Typhoon a, à juste titre, fait grand bruit en raison de l'ampleur de l'opération, il n'en reste pas moins que le gouvernement chinois s'en prend à nos infrastructures essentielles de manière à la fois large et implacable.
Qu'en est-il de l'avenir ? Pour la Chine, il s'agit - et il s'agit toujours - d'un simple calcul : Que possèdent les organisations américaines que les Chinois veulent ? Il suffit de consulter le 14e plan quinquennal de la Chine, publié en anglais sur l'internet. Pourquoi est-il publié en anglais ? Pour qu'ils puissent utiliser tous les vecteurs et toutes les parties sympathisantes à voler pour soutenir leur croissance.
Les Chinois veulent la propriété intellectuelle associée aux technologies de l'information, à la biotechnologie, aux nouvelles énergies, aux nouveaux matériaux, à l'équipement haut de gamme, aux véhicules à énergie nouvelle, à l'énergie quantique, à la protection de l'environnement, à l'aérospatiale et à l'équipement maritime - ce sont là des domaines extrêmement ciblés.
Le FBI se concentre également sur les activités actuelles du SVR (service de renseignement extérieur russe) et sur le groupe affilié au ransomware appelé Scattered Spider. Parmi les autres domaines d'intérêt actuels figurent l'intelligence artificielle, l'apprentissage automatique et la nécessité de faire tout ce qui est en notre pouvoir pour garantir la sécurité des élections de 2024.
Au moment de conclure cette journée, j'aimerais réfléchir à quelques points.
Toutes les menaces évoluent, et nos stratégies collectives doivent évoluer avec elles. En 2023, le FBI a connu son année la plus prolifique en termes de perturbations des cyberadversaires, ce dont nous sommes exceptionnellement fiers. Mais nous devons tous nous rappeler que nous sommes confrontés à des adversaires extrêmement compétents en Chine, en Russie, en Iran, en Corée du Nord, ainsi qu'à des cybercriminels basés en Russie qui ont trouvé refuge dans ce pays.
Nous devons également nous rappeler que 85 à 90 % des renseignements les plus puissants sur les cybermenaces se trouvent entre les mains de personnes autres que le gouvernement des États-Unis, ce qui m'amène à un dernier point concernant les partenariats : Aucune de nos perturbations passées ou futures n'est possible sans des partenariats exceptionnels. Nous devons réaliser, et mettre en œuvre ce thème, que nous sommes dans le même bateau. Ensemble, nous sommes plus forts.
Voici ce que je demande à chacun d'entre vous aujourd'hui : Soyez l'ambassadeur de ce message. Nous avons besoin de tout le monde - le secteur privé, les organisations à but non lucratif, le monde universitaire, le gouvernement américain - dans le même bateau, pour ramer dans la même direction. C'est ainsi que nous serons le plus efficaces.
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Le cerveau du ransomware LockBit a été démasqué, des accusations et des sanctions sont annoncées contre Dimitry Yuryevich Khoroshev, le développeur et opérateur présumé du ransomware LockBit Le directeur du FBI avertit que les hackers chinois cherchent à « faire des ravages » dans les infrastructures critiques des États-Unis et à causer des dommages réels aux citoyens américains Les adversaires des États-Unis comme l'Iran, la Corée du Nord, la Russie et la Chine commencent à utiliser l'IA générative dans leurs cyberopérations offensives après Microsoft et OpenAI