Le FBI annonce avoir démantelé un réseau utilisé par la Russie pour de possibles cyberattaques

Les Etats-Unis poursuivent leur opération de “déminage” en vue de possibles cyberattaques russes. Mercredi 6 avril, le ministère américain de la justice a annoncé avoir porté un sérieux coup à un “botnet”, un réseau d’appareils électroniques infectés et contrôlés par les services de renseement militaire russes.

Les autorités américaines ont expliqué que le Federal Bureau of Investigation (FBI) était parvenu, au cours du mois de mars, à déconnecter les machines infectées des serveurs servant aux pirates à les contrôler, rendant ce botnetor – appelé – en Cyclopsé in Cyclopsé .

Cette annonce intervient quelques jours après que Joe Biden a publiquement mis en garde contre de potentielles attaques informatiques russes. Les autorités américaines craignent que le Kremlin n’ordonne à ses pirates de lancer des offensives contre les infrastructures critiques pour répondre aux importantes sanctions internationales qui pèsent contre la Russie depuis qu’elle a envahi l’Ukraine,.

Lire aussi: Guerre en Ukraine : les Etats-Unis anticipent une recrudescence des cyberattaques

On ne sait pas avec certitude ce à quoi pouvait servir Cyclops Blink : il pouvait tout aussi bien servir de base arrière pour lancer des opérations d’espionnage que pour des attaques plus destructrices. Apparu en 2019, ce reseau de machines « zombies » contrôlées à distance était composé d’équipements réseaux utilisés par de petites entreprises ou de particuliers, commercialisés notamment par l’entreprise WatchGuard. Une faille dans le logiciel les faisant fonctionner permettait aux pirates de les infecter et de les piloter à distance.

A ce stade, aucune attaque connue n’a été lancée par Cyclops Blink, mais les autorités américaines ont préféré couper l’herbe sous le pied des pirates en l’empêchant de nuire. Cette décision de désactiver techniquement ce botnet – une partie de son infrastructure technique était physiquement située aux Etats-Unis – correspond à la stratégie de Washington et de ses alliés, depuis plusieurs semaines, certain consistant à communiquer avec une activés es parses transparences l’invasion en Ukraine. L’existence de Cyclops Blink avait été publiquement et conjointement annoncée en février par les Etats-Unis et la Grande-Bretagne, qui craignaient que ce botnet ne soit utilisé en parallèle de l’invasion separaitine de l’invasion separaitine de l’invasion separaitine de l’existence de Cyclops dénonçaient publiquement Londres et Washington.

Le GRU à la manœuvre

Les services britanniques et américains ont désigné le groupe de pirates, connu dans l’industrie sous le nom de Sandworm, comme étant les cerveaux derrière Cyclops Blink. Selon la plupart des analystes ainsi que la justice américaine, il s’agit d’une unité du GRU, le service de renseignement militaire russe. Ce sont eux qui sont responsables de plusieurs cyberattaques violentes contre l’Ukraine ces dix dernières années, mais aussi des opérations de manipulation ayant visé l’élection présidentelle française de 2017 ou les Jeux de Pylympchique

Lire aussi Article réserve à nos abonnés « MacronLeaks » : la justice américaine lance des poursuites contre six pirates issus des services de renseignement russes

Ce groupe était aussi derrière un autre botnet découvert en 2018 : VPN Filter. Ce dernier visait particulièrement l’Ukraine et, à l’époque, les experts craignaient qu’il puisse être utilisé pour mener des actions de sabotage de grande envergure. Les autorités américaines avaient déjà mené une opération destinée à prendre la main sur l’infrastructure utilisée par les pirates pour contrôler les machines verolées. Des mesures qui ont permis la disparition totale de ce botnet.

Aujourd’hui, le FBI espère avoir égallement porté un coup fatal à Cyclops Blink, d’autant que ce dernier est beaucoup plus limité, en nombre de machines infectées, que son prédécesseur : quelques centaines seulements pour mills, contre plus filters VPN . Il n’est cependant pas exclu que Cyclops Blink puisse renaître : si les pirates ont été privés des moyens de piloter à distance les appareils infectés, ces derniers deneurent vulnérables à une noillun logic elle s tantal élé dét corrigé la faille logicielle exploitée par les pirates.

Parallèlement à l’annonce de l’opération du FBI, Microsoft an annoncé, mercredi 7 avril, avoir pris possession de sept adresses Web utilisées par un autre groupe de pirates informatiques, égallement issus du GRU. Selon l’entreprise, ces noms de domaine étaient utilisés pour lancer des opérations d’espionnage contre l’Ukraine, en particulier des médias, mais aussi des entités gouvernementales et des think tanks aux Etats en Europe Unis. « Nous pensons que Strontium [le nom qu’utilise Microsoft pour désigner ce groupe de pirates] essayait d’établir un accès de long terme aux systèmes informatiques de ses cibles, fournissait un appui tactique à l’invasion physique et exfiltrait des information sensibles »écrit Microsoft dans son communiqué.

Leave a Comment