Depuis que la Russie a lancé son invasion à grande échelle de l’Ukraine fin février, une vague de cyberattaques prévisibles a accompagné cette offensive, frappant tout, des agences gouvernementales ukrainiennes aux réseaux satellites, avec des résultats mitigés. Moins attendue, cependant, était la cyber contre-offensive du gouvernement américain – non pas sous la forme de piratage de représailles, mais dans un large éventail de mesures juridiques et politiques agressives conçues pour appeler les groupes de cyberattaques les plus effrontés du Kremlin, les enfermer, et même perturber directement leurs capacités de piratage.
Au cours des deux derniers mois, la branche exécutive du président Joe Biden a pris plus de mesures pour dissuader et même désarmer temporairement les pirates informatiques les plus dangereux de Russie que peut-être n’importe quelle administration précédente en si peu de temps. Les contre-mesures américaines vont de l’attribution publique de la responsabilité des attaques par déni de service distribuées ciblant les banques ukrainiennes à l’agence de renseignement militaire russe GRU à la levée de deux actes d’accusation contre les membres de groupes de pirates informatiques notoires de l’État russe à la réalisation d’une opération rare du FBI visant à supprimer les logiciels malveillants des périphériques réseau qui Les pirates du GRU avaient l’habitude de contrôler un botnet mondial de machines piratées. Plus tôt cette semaine, le directeur général de la NSA et du Cyber Command, Paul Nakasone, a également déclaré au Congrès que le Cyber Command avait envoyé des équipes de cybersécurité américaines en Europe de l’Est pour rechercher et éliminer les vulnérabilités du réseau que les pirates pourraient exploiter à la fois en Ukraine et dans les réseaux de autres alliés.
Ensemble, cela représente «une campagne concertée et coordonnée pour utiliser tous les leviers du pouvoir national contre un adversaire», déclare J. Michael Daniel, qui a été coordinateur de la cybersécurité à la Maison Blanche d’Obama, conseillant le président sur les réponses politiques. à toutes sortes de menaces de piratage parrainées par l’État. “Ils essaient à la fois de perturber ce que fait actuellement l’adversaire et de le dissuader potentiellement de prendre d’autres actions plus étendues dans le cyberespace à la suite de la guerre en Ukraine.”
Daniel dit que par rapport à l’administration Obama dans laquelle il a servi, il est clair que la Maison Blanche de Biden a décidé d’adopter une approche beaucoup plus rapide et plus percutante pour contrer les pirates du Kremlin. Il attribue ce changement aux deux années d’expérience du gouvernement américain face au régime de Vladimir Poutine et à l’urgence de la crise ukrainienne, dans laquelle les pirates de l’État russe constituent une menace permanente pour les infrastructures critiques ukrainiennes ainsi que pour les réseaux occidentaux, où les pirates du Kremlin peuvent se déchaîner. en représailles aux sanctions contre la Russie et au soutien militaire à l’Ukraine. “Les Russes ont clairement indiqué que la signalisation et les petits pas ne les dissuaderont pas”, a déclaré Daniels. “Nous avons appris que nous devons être plus agressifs.”
Les réponses accélérées de l’administration Biden aux cyberattaques russes ont commencé à la mi-février, avant même que la Russie n’ait lancé son invasion à grande échelle. Lors d’une conférence de presse à la Maison Blanche, la conseillère adjointe à la sécurité nationale, Anne Neuberger, a appelé le GRU russe pour une série d’attaques par déni de service qui avaient frappé les banques ukrainiennes au cours de la semaine précédente. “La communauté mondiale doit être prête à faire la lumière sur les cyberactivités malveillantes et à tenir les acteurs responsables de toute activité cybernétique perturbatrice ou destructrice”, a déclaré Neuberger aux journalistes. Venant quelques jours seulement après les attaques du GRU, cette réprimande représentait l’une des fenêtres de temps les plus courtes jamais enregistrées entre une cyberopération et une déclaration du gouvernement américain l’attribuant à une agence particulière – un processus qui a souvent pris des mois, voire des années.
Le mois dernier, le ministère de la Justice a dévoilé des actes d’accusation contre quatre Russes appartenant à deux groupes de pirates informatiques liés à l’État. Un acte d’accusation a nommé trois agents présumés de l’agence de renseignement russe FSB qui sont accusés d’appartenir à un groupe de pirates infâme, connu sous le nom de Berserk Bear ou Dragonfly 2.0, qui s’est livré à une frénésie de piratage de plusieurs années qui a ciblé à plusieurs reprises des infrastructures américaines critiques, y compris de multiples violations de réseaux électriques. Un deuxième acte d’accusation a mis un nom sur une autre campagne de piratage très dangereuse, qui a utilisé un logiciel malveillant connu sous le nom de Triton ou Trisis pour cibler les systèmes de sécurité de la raffinerie de pétrole saoudienne Petro Rabigh, mettant potentiellement en danger des vies et entraînant deux arrêts des opérations de la raffinerie. . Le ministère de la Justice a épinglé cette attaque contre un membre du personnel de l’Institut central de recherche scientifique de chimie et de mécanique lié au Kremlin (connu sous le nom de TsNIIKhM) à Moscou, ainsi que d’autres complices anonymes de la même organisation.
Dans le même temps, l’Agence de cybersécurité et de sécurité des infrastructures, le ministère de la Justice et le FBI s’attaquaient encore plus directement à un troisième groupe de pirates informatiques russes. En février, la CISA a émis pour la première fois un avertissement indiquant qu’un groupe de piratage du GRU connu sous le nom de Sandworm – avec un bilan allant du déclenchement de pannes d’électricité en Ukraine à la diffusion du logiciel malveillant NotPetya qui a infligé 10 milliards de dollars de dégâts dans le monde – avait assemblé un botnet de piratage périphériques réseau, ainsi que des conseils sur la façon de détecter et de supprimer le logiciel malveillant, connu sous le nom de Cyclops Blink. Lorsque cet avis n’a entraîné qu’une baisse de 39 % du nombre d’appareils piratés par le botnet, le FBI a pris la rare décision de se faire passer pour les communications des pirates avec ses machines de commande et de contrôle, en envoyant des commandes pour supprimer les logiciels malveillants des pirates. ces appareils, et coupant ainsi l’accès de Sandworm à au moins une partie de son botnet.
Le ciblage spécifique de ces trois groupes de pirates – les pirates Berserk Bear liés au FSB, les pirates TsNIIKhM prétendument derrière Triton et le groupe Sandworm lié au GRU – montre comment le gouvernement américain prend intentionnellement des mesures pour dissuader et désactiver les pirates russes qui présentent le La plus grande menace n’est pas simplement l’espionnage ou la cybercriminalité, mais une cyberguerre ciblée et perturbatrice, déclare John Hultquist, qui dirige le renseignement sur les menaces au sein de la société de cybersécurité Mandiant et suit les trois groupes depuis des années. « À un moment où les États-Unis se préparent à de potentielles cyberattaques en provenance de Russie, le ministère de la Justice a spécifiquement inculpé deux de ces acteurs et mené une opération contre le troisième », déclare Hultquist. “Ce sont les acteurs qui ont l’histoire et la capacité éprouvée d’attaques perturbatrices et destructrices. C’est pourquoi les opérations ont été et devraient être concentrées sur ces acteurs.”
