Pendant des années, la Russie les groupes de cybercriminels ont agi avec une relative impunité. Le Kremlin et les forces de l’ordre locales ont largement fermé les yeux sur les attaques de ransomwares perturbatrices tant qu’elles ne ciblaient pas les entreprises russes. Malgré la pression directe exercée sur Vladimir Poutine pour qu’il s’attaque aux groupes de rançongiciels, ils sont toujours intimement liés aux intérêts de la Russie. Une fuite récente de l’un des groupes les plus notoires de ce type donne un aperçu de la nature de ces liens – et à quel point ils peuvent être ténus.
Un cache de 60 000 messages de discussion et fichiers divulgués du célèbre groupe de rançongiciels Conti donne un aperçu de la façon dont le gang criminel est bien connecté en Russie. Les documents, revus par WIRED et mis en ligne pour la première fois fin février par un chercheur ukrainien anonyme en cybersécurité ayant infiltré le groupe, montrent comment Conti opère au quotidien et ses ambitions crypto. Ils révèlent probablement en outre comment les membres de Conti ont des liens avec le Service fédéral de sécurité (FSB) et une connaissance aiguë des opérations des pirates militaires soutenus par le gouvernement russe.
Alors que le monde luttait pour faire face à l’épidémie de la pandémie de Covid-19 et aux premières vagues de juillet 2020, les cybercriminels du monde entier ont tourné leur attention vers la crise sanitaire. Le 16 juillet de cette année-là, les gouvernements du Royaume-Uni, des États-Unis et du Canada ont publiquement dénoncé les pirates militaires russes soutenus par l’État pour avoir tenté de voler la propriété intellectuelle liée aux premiers vaccins candidats. Le groupe de piratage Cozy Bear, également connu sous le nom de Advanced Persistent Threat 29 (APT29), attaquait les entreprises pharmaceutiques et les universités en utilisant des logiciels malveillants modifiés et des vulnérabilités connues, ont déclaré les trois gouvernements.
“Il nous a semblé que nous étions suivis, car des voitures inconnues se tenaient dans la cour, deux corps étaient assis dans la voiture.”
Kagas, membre de Conti, dans une conversation divulguée
Quelques jours plus tard, les dirigeants de Conti ont parlé du travail de Cozy Bear et ont fait référence à ses attaques de ransomware. Stern, la figure de PDG de Conti, et le professeur, un autre membre senior du gang, ont parlé de la création d’un bureau spécifique pour les “sujets gouvernementaux”. Les détails ont été rapportés pour la première fois par WIRED en février, mais sont également inclus dans les fuites plus larges de Conti. Dans la même conversation, Stern a déclaré qu’ils avaient quelqu’un “de l’extérieur” qui a payé le groupe (bien qu’il ne soit pas précisé pourquoi) et a discuté de la prise en charge des cibles de la source. « Ils veulent beaucoup de Covid en ce moment », a déclaré le professeur à Stern. “Les oursons douillets sont déjà en train de se frayer un chemin dans la liste.”
“Ils font référence à la mise en place d’un projet à long terme et rejettent apparemment cette idée qu’ils [the external party] aiderait à l’avenir », déclare Kimberly Goody, directrice de l’analyse de la cybercriminalité au sein de la société de sécurité Mandiant. “Nous pensons que c’est une référence si des mesures d’application de la loi seraient prises contre eux, que cette partie externe pourrait être en mesure de les aider avec cela.” Goody souligne que le groupe mentionne également l’avenue Liteyny à Saint-Pétersbourg, le siège des bureaux locaux du FSB.
Bien que les preuves des liens directs de Conti avec le gouvernement russe restent insaisissables, les activités du gang continuent de s’aligner sur les intérêts nationaux. “L’impression des discussions divulguées est que les dirigeants de Conti ont compris qu’ils étaient autorisés à opérer tant qu’ils suivaient les directives tacites du gouvernement russe”, explique Allan Liska, analyste pour la société de sécurité Recorded Future. “Il semble y avoir eu au moins quelques lignes de communication entre le gouvernement russe et les dirigeants de Conti.”
En avril 2021, Mango, un responsable clé de Conti qui aide à organiser le groupe, a demandé au professeur : « Travaillons-nous sur la politique ? Lorsque le professeur a demandé plus d’informations, Mango a partagé des messages de discussion qu’ils avaient avec une personne utilisant le pseudonyme JohnyBoy77 – tous les membres du gang utilisent des surnoms pour aider à cacher leur identité. Les deux hommes parlaient de personnes qui “travaillent contre la Fédération de Russie” et de l’interception potentielle d’informations à leur sujet. JohnyBoy77 a demandé si les membres de Conti pouvaient accéder aux données d’une personne liée à Bellingcat, les journalistes d’investigation open source qui ont dénoncé les pirates russes et les réseaux secrets d’assassins.
En particulier, JohnyBoy77 voulait des informations liées à l’enquête de Bellingcat sur l’empoisonnement du chef de l’opposition russe Alexey Navalny. Ils ont posé des questions sur les fichiers de Bellingcat sur Navalny, ont fait référence à l’accès aux mots de passe d’un membre de Bellingcat et ont mentionné le FSB. En réponse aux conversations de Conti, le directeur exécutif de Bellingcat, Christo Grozevm, a tweeté que le groupe avait déjà reçu une information indiquant que le FSB avait parlé avec un groupe de cybercriminalité du piratage de ses contributeurs. “Je veux dire, sommes-nous des patriotes ou quoi?” Mango a interrogé le professeur sur les fichiers. “Bien sûr que nous sommes des patriotes”, ont-ils répondu.
Le patriotisme russe est constant dans tout le groupe Conti, dont bon nombre de ses membres sont basés dans le pays. Cependant, le groupe est international dans sa portée, a des membres en Ukraine et en Biélorussie, et a des liens avec des membres plus éloignés. Tous les membres du groupe ne sont pas d’accord avec l’invasion de l’Ukraine par la Russie, et les membres ont discuté de la guerre. “Avec la mondialisation de ces groupes de rançongiciels, ce n’est pas parce que la direction de Conti s’est bien alignée sur la politique russe que les affiliés ont ressenti la même chose”, déclare Liska. Dans une série de conversations remontant à août 2021, Spoon et Mango ont discuté de leurs expériences en Crimée. La Russie a envahi la Crimée et annexé la région depuis l’Ukraine en 2014, un mouvement que les dirigeants occidentaux disent qu’ils auraient dû faire plus pour arrêter. La région était belle, disaient-ils, mais Spoon n’y était pas allé depuis 10 ans. “Je vais devoir aller vérifier l’année prochaine”, a déclaré Spoon. “La Crimée russe.”