WASHINGTON — Les agences américaines et britanniques ont divulgué jeudi des détails sur les méthodes de “force brute” qui, selon elles, ont été utilisées par les services secrets russes pour tenter de pénétrer dans les services cloud de centaines d’agences gouvernementales, de sociétés énergétiques et d’autres organisations.
Un avis publié par l’Agence de sécurité nationale des États-Unis décrit les attaques d’agents liés au GRU, l’agence de renseignement militaire russe, qui a déjà été liée à des cyberattaques majeures à l’étranger et aux efforts visant à perturber les élections américaines de 2016 et 2020.
Dans un communiqué, le directeur de la cybersécurité de la NSA, Rob Joyce, a déclaré que la campagne était “probablement en cours, à l’échelle mondiale”.
Les attaques par force brute impliquent la pulvérisation automatisée de sites avec des mots de passe potentiels jusqu’à ce que les pirates y accèdent.
L’avis exhorte les entreprises à adopter des méthodes préconisées depuis longtemps par les experts comme une cyberhygiène de bon sens, notamment l’utilisation de l’authentification multifacteur et l’imposition de mots de passe forts.
Publié lors d’une vague dévastatrice d’attaques de ransomware contre les gouvernements et les infrastructures clés, l’avis ne révèle pas les cibles spécifiques de la campagne ni son objectif présumé, indiquant seulement que les pirates ont ciblé des centaines d’organisations dans le monde.
La NSA affirme que des agents liés au GRU ont tenté de pénétrer dans les réseaux à l’aide de Kubernetes, un outil open source développé à l’origine par Google pour gérer les services cloud, depuis au moins la mi-2019 jusqu’au début de cette année.
Alors qu’une “quantité importante” des tentatives d’effraction ciblait des organisations utilisant les services cloud Office 365 de Microsoft, les pirates se sont également attaqués à d’autres fournisseurs de cloud et serveurs de messagerie, a déclaré la NSA.
Les États-Unis accusent depuis longtemps la Russie d’utiliser et de tolérer des cyberattaques à des fins d’espionnage, de diffusion de désinformation et de perturbation des gouvernements et des infrastructures clés.
L’ambassade de Russie à Washington a démenti jeudi “strictement” l’implication d’agences gouvernementales russes dans des cyberattaques contre des agences gouvernementales américaines ou des entreprises privées.
Dans un communiqué publié sur Facebook, l’ambassade a déclaré : “Nous espérons que la partie américaine abandonnera la pratique des accusations infondées et se concentrera sur un travail professionnel avec des experts russes pour renforcer la sécurité internationale de l’information”.
Joe Slowik, analyste des menaces à la société de surveillance de réseau Gigamon, a déclaré que l’activité décrite par la NSA jeudi montre que le GRU a encore rationalisé une technique déjà populaire pour s’introduire dans les réseaux.
Il a déclaré que cela semble chevaucher les rapports du ministère de l’Énergie sur les tentatives d’intrusion par force brute fin 2019 et début 2020 ciblant les secteurs de l’énergie et du gouvernement américains et que le gouvernement américain est apparemment au courant depuis un certain temps.
Slowik a déclaré que l’utilisation de Kubernetes “est certainement un peu unique, même si en soi, cela ne semble pas inquiétant”. Il a déclaré que la méthode de la force brute et le mouvement latéral à l’intérieur des réseaux décrits par la NSA sont courants parmi les pirates informatiques soutenus par l’État et les gangs criminels de ransomware, permettant au GRU de se fondre avec d’autres acteurs.
John Hultquist, vice-président de l’analyse de la société de cybersécurité Mandiant, a qualifié l’activité décrite dans l’avis de “collecte de routine contre les décideurs politiques, les diplomates, l’armée et l’industrie de la défense”.
“C’est un bon rappel que le GRU reste une menace imminente, ce qui est particulièrement important compte tenu des prochains Jeux olympiques, un événement qu’ils pourraient bien tenter de perturber”, a déclaré Hultquist dans un communiqué.
Le FBI et la Cybersecurity and Infrastructure Security Agency ont rejoint le conseil, tout comme le British National Cyber Security Centre.
Le GRU a été à plusieurs reprises lié par des responsables américains ces dernières années à une série d’incidents de piratage. En 2018, le bureau de l’avocat spécial Robert Mueller a inculpé 12 officiers du renseignement militaire pour piratage de courriels démocrates qui ont ensuite été publiés par WikiLeaks dans le but de nuire à la campagne présidentielle d’Hillary Clinton et de stimuler la candidature de Donald Trump.
Plus récemment, le ministère de la Justice a annoncé l’automne dernier des accusations contre des agents du GRU dans des cyberattaques visant une élection présidentielle française, les Jeux olympiques d’hiver en Corée du Sud et des entreprises américaines.
Contrairement à l’agence de renseignement étrangère russe SVR, qui est blâmée pour la campagne de piratage de SolarWinds et veille à ne pas être détectée dans ses cyber-opérations, le GRU a mené les cyberattaques les plus dommageables jamais enregistrées, dont deux sur le réseau électrique ukrainien et le virus NotPetya de 2017 qui a causé plus de 10 milliards de dollars de dommages dans le monde.
Des agents du GRU ont également été impliqués dans la propagation de la désinformation liée à la pandémie de coronavirus, ont allégué des responsables américains.
Une évaluation du renseignement américain en mars indique que le GRU a tenté de surveiller les personnes dans la politique américaine en 2019 et 2020 et a organisé une campagne de phishing contre les filiales de la société énergétique ukrainienne Burisma, susceptible de recueillir des informations préjudiciables au président Joe Biden, dont le fils avait déjà servi dans le tableau.
En avril, l’administration Biden a sanctionné la Russie après l’avoir liée à l’ingérence électorale et à la violation de SolarWinds.
——
Bajak a rapporté de Boston.
.
