Les vieilles techniques de cyberespionnage fonctionnent encore. Des hackers de Moscou, membres du renseignement, ont infiltré un ordinateur ukrainien depuis une clé USB pour préparer l’invasion du pays dès décembre. Leur mode opératoire a été détaillé par les chercheurs en cyber de Mandiant dans un rapport publié ce 5 janvier. Les pirates du Kremlin ont commencé leur infiltration en décembre 2021 avec une clé fournie à une victime ukrainienne ou directement insérée sur un poste par un membre du renseignement. Les fichiers installés ont permis d’introduire Andromeda, un botnet bien connu de la communauté cyber.
Ce réseau permettait d’infecter des centaines de millions d’ordinateurs afin de lancer d’autres malwares par la suite. Fourni de manière publique par des hackers criminels et démantelé par Europol en 2017, il a été réutilisé cette fois par les membres du renseignement russe pour attaquer l’Ukraine. Ils ont commencé à s’en servir en septembre 2022 pour exfiltrer des données depuis une porte dérobée dans le système.
Un groupe spécialisé dans le cyberespionnage
Cette opération est attribuée à Turla — connu sous le nom de Snake ou d’Uroburos — un groupe lié au gouvernement russe. Spécialisé dans le cyberespionnage, ce collectif avait touché en 2015 plus de 500 victimes dans 45 pays différents à travers le monde, dont des agences gouvernementales, des entités militaires et des diplomatiques en tant que cibles privilégiées du groupe. « Le profilage approfondi réalisé depuis janvier a peut-être permis au groupe de sélectionner des victimes spécifiques et adapter ses efforts d’exploitation pour recueillir et exfiltrer des informations d’importance stratégique afin d’éclairer les priorités russes » expliquent les chercheurs de Mandiant.
Lorsque cette opération a été lancée [en décembre 2021], les services de renseignement russes qualifiaient d’« absolument fausses » les affirmations selon lesquelles Moscou préparerait une invasion de l’Ukraine.
Les attaques par clé USB sont devenues obsolètes depuis que le stockage dans le cloud est devenu la norme. Les services de messagerie ont également relevé leur limite de taille maximale, dans les transferts de fichiers. Or, les clés USB peuvent être encore utilisées dans des secteurs sensibles, où on évite de passer par le web pour communiquer. Mandiant avait également détecté une campagne de piratage similaire menée par des pirates chinois en décembre 2022. En 2023, un hacker est plus important que James Bond.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
