Des pirates informatiques liés à la principale agence de renseignement russe ont saisi subrepticement un système de courrier électronique utilisé par l’agence d’aide internationale du département d’État pour s’enfouir dans les réseaux informatiques de groupes de défense des droits de l’homme et d’autres organisations du type qui ont critiqué le président Vladimir V. jeudi.
La découverte de la brèche intervient trois semaines seulement avant que le président Biden ne rencontre M. Poutine à Genève, et à un moment de tension accrue entre les deux pays – en partie à cause d’une série de cyberattaques de plus en plus sophistiquées émanant de la Russie.
L’attaque récemment révélée était également particulièrement audacieuse: en violant les systèmes d’un fournisseur utilisé par le gouvernement fédéral, les pirates ont envoyé des e-mails authentiques. à plus de 3 000 comptes dans plus de 150 organisations qui reçoivent régulièrement des communications de l’Agence des États-Unis pour le développement international. Ces e-mails ont été envoyés aussi récemment que cette semaine, et Microsoft a déclaré qu’il pensait que les attaques étaient en cours.
L’e-mail a été implanté avec un code qui donnerait aux pirates un accès illimité aux systèmes informatiques des destinataires, du «vol de données à l’infection d’autres ordinateurs sur un réseau», a écrit jeudi soir Tom Burt, vice-président de Microsoft.
Le mois dernier, M. Biden a annoncé une série de nouvelles sanctions contre la Russie et l’expulsion de diplomates pour une opération de piratage sophistiquée, appelée SolarWinds, qui utilisait de nouvelles méthodes pour enfreindre au moins sept agences gouvernementales et des centaines de grandes entreprises américaines.
Cette attaque n’a pas été détectée par le gouvernement américain pendant neuf mois, jusqu’à ce qu’elle soit découverte par une entreprise de cybersécurité. En avril, M. Biden a déclaré qu’il aurait pu répondre beaucoup plus fermement, mais «a choisi d’être proportionné» parce qu’il ne voulait pas «déclencher un cycle d’escalade et de conflit avec la Russie».
La réponse russe semble néanmoins avoir été une escalade. L’activité malveillante était en cours aussi récemment que la semaine dernière. Cela suggère que les sanctions et toutes les autres actions secrètes menées par la Maison Blanche – dans le cadre d’une stratégie de création de coûts «visibles et invisibles» pour Moscou – n’ont pas étouffé l’appétit du gouvernement russe pour les perturbations.
Un porte-parole de la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security a déclaré jeudi soir que l’agence était «consciente du compromis potentiel» de l’Agence pour le développement international et qu’elle «travaillait avec le FBI et l’USAID pour mieux comprendre le l’ampleur du compromis et aider les victimes potentielles. »
Microsoft a identifié le groupe russe derrière l’attaque comme étant Nobelium et a déclaré que c’était le même groupe responsable du piratage de SolarWinds. Le mois dernier, le gouvernement américain a explicitement déclaré que SolarWinds était l’œuvre du SVR, l’une des retombées les plus réussies du KGB de l’ère soviétique.
La même agence a été impliquée dans le piratage du Comité national démocrate en 2016, et avant cela, dans des attaques contre le Pentagone, le système de messagerie de la Maison Blanche et les communications non classées du département d’État.
Il est devenu de plus en plus agressif et créatif, affirment les fonctionnaires fédéraux et les experts. L’attaque SolarWinds n’a jamais été détectée par le gouvernement des États-Unis et a été menée à travers un code implanté dans un logiciel de gestion de réseau que le gouvernement et les entreprises privées utilisent largement. Lorsque les clients mettaient à jour le logiciel SolarWinds – tout comme la mise à jour d’un iPhone du jour au lendemain – ils laissaient involontairement entrer un envahisseur.
Parmi les victimes l’année dernière figuraient les départements de la sécurité intérieure et de l’énergie, ainsi que des laboratoires nucléaires.
Lorsque M. Biden est arrivé au pouvoir, il a commandé une étude de l’affaire SolarWinds, et les responsables ont travaillé pour empêcher de futures attaques de «chaîne d’approvisionnement», dans lesquelles des adversaires infectent des logiciels utilisés par les agences fédérales. C’est similaire à ce qui s’est passé dans ce cas, lorsque l’équipe de sécurité de Microsoft a attrapé les pirates informatiques en utilisant un service de messagerie largement utilisé, fourni par une société appelée Constant Contact, pour envoyer des e-mails malveillants qui semblaient provenir d’adresses authentiques de l’Agence pour le développement international.
Mais le contenu était parfois à peine subtil. Dans un e-mail envoyé mardi via le service de Constant Contact, les pirates ont mis en évidence un message affirmant que «Donald Trump a publié de nouveaux e-mails sur la fraude électorale». L’e-mail contenait un lien qui, une fois cliqué, dépose des fichiers malveillants sur les ordinateurs des destinataires.
Microsoft a noté que l’attaque différait «significativement» du piratage de SolarWinds, en utilisant de nouveaux outils et de nouveaux métiers dans un effort apparent pour éviter la détection. Il a déclaré que l’attaque était toujours en cours et que les pirates continuaient à envoyer des e-mails de spearphishing, avec une vitesse et une portée croissantes. C’est pourquoi Microsoft a pris la décision inhabituelle de nommer l’agence dont les adresses e-mail étaient utilisées et de publier des échantillons du faux e-mail.
Essentiellement, les Russes sont entrés dans le système de courrier électronique de l’Agence pour le développement international en faisant le tour de l’agence et en s’attaquant directement à ses fournisseurs de logiciels. Constant Contact gère les e-mails de masse et autres communications pour le compte de l’agence humanitaire.
«Nobelium a lancé les attaques de cette semaine en accédant au compte Constant Contact de l’USAID», a écrit M. Burt de Microsoft. Le contact constant n’a pas pu être joint pour un commentaire.
Microsoft, comme d’autres grandes entreprises impliquées dans la cybersécurité, maintient un vaste réseau de capteurs pour rechercher des activités malveillantes sur Internet et est souvent une cible en soi. Il a été profondément impliqué dans la révélation de l’attaque SolarWinds.
Dans ce cas, a rapporté Microsoft, l’objectif des pirates n’était pas de s’en prendre au département d’État ou à l’agence humanitaire, mais d’utiliser leurs relations pour entrer dans des groupes qui travaillent sur le terrain – et dans de nombreux cas, se classer parmi les plus critiques puissants.
«Au moins un quart des organisations ciblées étaient impliquées dans le développement international, l’action humanitaire et les droits de l’homme», a écrit M. Burt. Bien qu’il ne les ait pas nommés, de nombreux groupes de ce type ont révélé l’action de la Russie contre des dissidents ou protesté contre l’empoisonnement, la condamnation et l’emprisonnement du leader de l’opposition le plus connu de Russie, Alexei A. Navalny.
L’attaque suggère que les agences de renseignement russes intensifient leur campagne, peut-être pour démontrer que le pays ne reculerait pas face aux sanctions, à l’expulsion de diplomates et à d’autres pressions.
M. Biden a évoqué l’attaque SolarWinds avec M. Poutine lors d’un appel téléphonique le mois dernier, lui disant que les sanctions et les expulsions étaient une démonstration de la façon dont son administration ne tolérerait plus une accélération du rythme des cyberopérations.
M. Poutine a nié l’implication de la Russie et certains médias russes ont soutenu que les États-Unis avaient lancé l’attaque contre eux-mêmes.
À l’époque, la Maison Blanche a également imposé une série de nouvelles sanctions aux particuliers et aux actifs russes, y compris de nouvelles restrictions sur l’achat de la dette souveraine de la Russie, ce qui rendra plus difficile pour la Russie de lever des fonds et de soutenir sa monnaie.
«C’est le début d’une nouvelle campagne américaine contre le comportement malveillant de la Russie», a déclaré à l’époque la secrétaire au Trésor Janet L. Yellen.
Les tensions sur l’hébergement de cybercriminels par la Russie se sont considérablement intensifiées ce mois-ci après qu’un groupe de ransomware a pris en otage les réseaux commerciaux de Colonial Pipeline. L’attaque a forcé la société à fermer un pipeline qui achemine près de la moitié du gaz, du diesel et du carburéacteur vers la côte Est, provoquant une flambée des prix du gaz et des achats de panique à la pompe.
M. Biden a déclaré il y a deux semaines que «nous ont été en communication directe avec Moscou sur l’impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomwares. »
