Votre panier est vide.
Certains articles de veille peuvent faire l'objet de traduction automatique.
En 2017, Symantec a découvert les mêmes pirates informatiques menant une série d’attaques plus ciblées contre des cibles du secteur énergétique américain. À l’époque, les chercheurs en sécurité l’ont décrit comme une «poignée» de victimes, mais Thakur dit maintenant qu’elles se comptent par dizaines, allant des exploitations minières de charbon aux services publics d’électricité. Dans certains cas, Symantec a découvert que les pirates étaient allés jusqu’à capturer les panneaux de contrôle des disjoncteurs, signe que leurs efforts de reconnaissance avaient été suffisamment profonds pour qu’ils auraient pu commencer à « basculer les interrupteurs » à volonté – assez probablement pour provoquer une sorte de perturbation sinon nécessairement une panne de courant prolongée. Mais encore une fois, les hackers ne semblent pas en avoir pleinement profité. «Nous ne les avons vus éteindre les lumières nulle part», dit-il.
Six mois plus tard, en février 2018, le FBI et le DHS avertiraient que la campagne de piratage – qu’ils ont baptisée Palmetto Fusion – avait été menée par des pirates informatiques russes parrainés par l’État, et a également confirmé rapports que les victimes des pirates informatiques avaient inclus au moins une installation de production d’énergie nucléaire. Les pirates avaient eu accès uniquement au réseau informatique de l’utilitaire, mais pas à ses systèmes de contrôle industriels beaucoup plus sensibles.
Aller Berserk
Aujourd’hui Berserk Bear est largement soupçonné de travailler au service de l’agence de renseignement interne du FSB russe, le successeur du KGB de l’ère soviétique. Meyers de CrowdStrike dit que les analystes de la société sont arrivés à cette conclusion avec « une confiance assez décente », en partie en raison de la preuve qu’en dehors de son piratage d’infrastructure étrangère, Berserk Bear a également ciblé périodiquement des entités et des individus russes, y compris des dissidents politiques et des sujets potentiels de enquête policière et antiterroriste, le tout conforme à la mission du FSB.
C’est un contraste avec d’autres groupes de piratage russes financés par l’État, Fancy Bear et Sandworm, qui ont été identifiés comme membres de l’agence de renseignement militaire GRU de Russie. Des hackers de Fancy Bear ont été inculpés en 2018 pour avoir enfreint le Comité national démocrate et la campagne Clinton dans le cadre d’une opération de piratage et de fuite conçue pour interférer avec l’élection présidentielle américaine de 2016. Six membres présumés de Sandworm ont été inculpés par le ministère américain de la Justice la semaine dernière en lien avec des cyberattaques qui ont provoqué deux pannes d’électricité en Ukraine, l’épidémie de malware NotPetya qui a infligé 10 milliards de dollars de dégâts dans le monde et la tentative de sabotage des Jeux olympiques d’hiver de 2018.
Berserk Bear semble être la version la plus sobre du FSB de l’unité de cyberguerre Sandworm du GRU, déclare John Hultquist, directeur du renseignement chez FireEye. « Il s’agit d’un acteur dont la mission semble être de maintenir les infrastructures critiques menacées », déclare Hultquist. « La différence est que nous ne les avons jamais vus appuyer sur la gâchette. »
Le simple fait de savoir pourquoi Berserk Bear s’inscrirait dans la ligne de la perturbation des infrastructures essentielles sans le franchir pendant tant d’années reste un sujet de débat. Hultquist soutient que le groupe se prépare peut-être à un futur conflit géopolitique potentiel, qui justifie un acte de cyberguerre comme l’attaque du réseau électrique d’un ennemi – ce que les analystes de la cybersécurité ont longtemps décrit comme «préparer le champ de bataille».
La dernière série d’infractions à Berserk Bear pourrait être ce genre de préparation, prévient Hultquist, pour les attaques à venir contre les gouvernements des États, des municipalités et d’autres autorités locales responsables de l’administration des élections en cours. Selon la société de cybersécurité Symantec, trois des tentatives d’opérations de Berserk Bear aéroports ciblés sur la côte ouest des États-Unis, y compris l’aéroport international de San Francisco. Thakur de Symantec imagine un avenir où Berserk Bear est mobilisé pour provoquer des effets perturbateurs, voire désastreux, comme «l’extinction des lumières dans une petite partie du pays, ou une certaine compagnie aérienne a du mal à ravitailler ses avions».
Mais Meyers de CrowdStrike, qui a suivi Berserk Bear pendant huit ans, dit qu’il en est venu à croire que le groupe joue peut-être un jeu plus subtil, qui a des effets psychologiques plus indirects mais immédiats. Chacune de ses violations, aussi mineure soit-elle, déclenche une réponse technique, politique et même émotionnelle disproportionnée. «Si vous pouvez faire en sorte que US-CERT ou CISA déploie une équipe chaque fois qu’ils trouvent une cible Berserk Bear, si vous pouvez leur faire publier des informations pour le public américain et impliquer leurs partenaires de la communauté du renseignement et des forces de l’ordre, faire une attaque de ressources contre la machine », dit Meyers, faisant une analogie avec une technique de piratage qui submerge les ressources d’un ordinateur cible de requêtes. Meyers souligne que l’avis CISA de la semaine dernière décrit un balayage généralisé des victimes potentielles, et non les tactiques plus calmes et plus ciblées d’un groupe faisant de la furtivité sa priorité absolue. «Plus ils peuvent diriger ces théâtres, plus ils peuvent nous faire devenir fous de fous … Ils nous font tourner la tête. Ils brûlent nos cycles.
Voir aussi :
Poster un commentaire