Les hackers fantaisie russes ont probablement pénétré dans une agence fédérale américaine

Un avertissement qui des pirates non identifiés ont fait irruption dans une agence du gouvernement fédéral américain et ont volé ses données est déjà assez troublant. Mais cela devient d’autant plus inquiétant lorsque ces intrus non identifiés sont identifiés – et semblent susceptibles de faire partie d’une équipe notoire de cyberspies travaillant au service de l’agence de renseignement militaire russe, le GRU.

La semaine dernière, l’Agence pour la cybersécurité et la sécurité des infrastructures a publié un avis que des hackers avaient pénétré une agence fédérale américaine. Il n’a identifié ni les attaquants ni l’agence, mais a détaillé les méthodes des pirates et leur utilisation d’une nouvelle et unique forme de malware dans une opération qui a réussi à voler les données cibles. Désormais, des indices découverts par un chercheur de la société de cybersécurité Dragos et une notification du FBI aux victimes de piratage obtenue par WIRED en juillet suggèrent une réponse probable au mystère de savoir qui était derrière l’intrusion: ils semblent être Fancy Bear, une équipe de pirates travaillant pour GRU de Russie. Également connu sous le nom d’APT28, le groupe a été responsable de tout, des opérations de piratage et de fuite ciblant l’élection présidentielle américaine de 2016 à une vaste campagne de tentatives d’intrusions ciblant les partis politiques, les consultants et les campagnes cette année.

Les indices pointant vers APT28 sont basés en partie sur une notification que le FBI a envoyée aux cibles d’une campagne de piratage informatique en mai de cette année, que WIRED a obtenue. La notification a averti qu’APT28 ciblait largement les réseaux américains, y compris les agences gouvernementales et les établissements d’enseignement, et a répertorié plusieurs adresses IP qu’ils utilisaient dans leurs opérations. Le chercheur de Dragos Joe Slowik a remarqué qu’une adresse IP identifiant un serveur en Hongrie utilisé dans cette campagne APT28 correspondait à une adresse IP répertoriée dans l’avis CISA. Cela suggérerait qu’APT28 a utilisé le même serveur hongrois dans l’intrusion décrite par CISA – et qu’au moins une des tentatives d’intrusions décrites par le FBI a réussi.

« Sur la base du chevauchement des infrastructures, de la série de comportements associés à l’événement, ainsi que du calendrier général et du ciblage du gouvernement américain, cela semble être quelque chose de très similaire – sinon en partie – à la campagne liée à APT28 plus tôt cette année. », déclare Slowik, l’ancien chef de l’équipe d’intervention d’urgence informatique des laboratoires nationaux de Los Alamos.

En plus de cette notification du FBI, Slowik a également trouvé une deuxième connexion d’infrastructure. Un rapport de l’année dernière du ministère de l’Énergie a averti que l’APT28 avait sondé le réseau d’une organisation gouvernementale américaine à partir d’un serveur en Lettonie, répertoriant l’adresse IP de ce serveur. Et cette adresse IP lettone a également réapparu lors de l’opération de piratage décrite dans l’avis CISA. Ensemble, ces adresses IP correspondantes créent un réseau d’infrastructures partagées qui relie les opérations entre elles. «Il y a des chevauchements un à un dans les deux cas», dit Slowik.

Fait déroutant, certaines des adresses IP répertoriées dans les documents du FBI, du DOE et de la CISA semblent également chevaucher des opérations cybercriminelles connues, note Slowik, telles que les forums de fraude russes et les serveurs utilisés par les chevaux de Troie bancaires. Mais il suggère que cela signifie que les pirates informatiques parrainés par l’État russe réutilisent très probablement l’infrastructure cybercriminelle, peut-être pour créer un déni. WIRED a contacté CISA, ainsi que le FBI et le DOE, mais aucun n’a répondu à notre demande de commentaires.

Bien qu’il ne nomme pas APT28, l’avis de CISA détaille étape par étape comment les pirates ont effectué leur intrusion à l’intérieur d’une agence fédérale non identifiée. Les pirates avaient en quelque sorte obtenu des noms d’utilisateur et des mots de passe fonctionnels pour plusieurs employés, qu’ils utilisaient pour accéder au réseau. CISA admet ne pas savoir comment ces informations d’identification ont été obtenues, mais le rapport spécule que les attaquants ont peut-être utilisé une vulnérabilité connue dans les VPN Pulse Secure qui, selon CISA, a été largement exploitée dans tout le gouvernement fédéral.

Les intrus ont ensuite utilisé des outils de ligne de commande pour se déplacer parmi les machines de l’agence, avant de télécharger un logiciel malveillant personnalisé. Ils ont ensuite utilisé ce logiciel malveillant pour accéder au serveur de fichiers de l’agence et déplacer des collections de fichiers vers des machines contrôlées par les pirates, en les compressant dans des fichiers .zip qu’ils pourraient plus facilement voler.