Les services de renseignement russes avaient déjà commencé à mettre en œuvre leur stratégie à Washington avant le lancement de l’invasion de l’Ukraine. Dans un article publié le 22 novembre dans le magazine Wired, les experts en cybersécurité de la société Volexity ont dévoilé une enquête de deux ans sur un piratage qui a eu lieu depuis les rues de la capitale américaine.
Les chercheurs attribuent cette attaque au groupe de hackers russes Fancy Bear, une célèbre unité affiliée au renseignement militaire russe (GRU). Le niveau de sophistication de l’attaque laisse penser que les hackers ont des ressources élevées. Le nom de la cible n’a pas été divulgué, mais il s’agirait d’une entreprise exerçant son activité dans un domaine sensible.
Le maillon faible de cette société ? Une connexion Wi-Fi mal configurée dans une salle de réunion. Les pirates ont d’abord infiltré un ordinateur connecté par Ethernet. Cet appareil est ensuite devenu une plateforme toxique pour infiltrer le reste des postes. En activant le module Wi-Fi de cet ordinateur, les hackers ont établi une passerelle vers un autre réseau situé à proximité. Grâce à des identifiants Wi-Fi volés, les assaillants ont ensuite pu se connecter au réseau cible, situé de l’autre côté de la rue.
Cette technique, appelée « enchaînement d’intrusions », repose sur l’utilisation successive d’appareils compromis comme relais, leur permettant de progresser vers leur cible sans laisser de trace évidente.
Des informations dérobées en amont de l’invasion de l’Ukraine
Ces intrusions ont eu lieu dans les mois avant et durant l’invasion de l’Ukraine par la Russie en février 2022. Les cibles identifiées au sein du réseau piraté travaillaient sur des sujets liés à l’Ukraine, ce qui indique que l’opération visait à collecter des renseignements sensibles pour soutenir les efforts militaires ou stratégiques russes.
Cette technique de piratage reflète une évolution des méthodes du GRU, qui adapte ses tactiques aux nouvelles contraintes de cybersécurité pour atteindre ses objectifs politiques. En 2018, des agents du renseignement s’étaient rendus à la Haye pour pirater le réseau Wi-Fi de l’Organisation pour l’interdiction des armes chimiques à La Haye. À l’époque, cette institution travaillait sur les armes chimiques utilisées par le régime syrien – soutenu par la Russie – et sur l’empoisonnement de l’ancien agent russe Sergueï Skripal à Londres.
Malgré l’intervention de Volexity pour expulser les hackers du réseau cible, ces derniers n’ont pas abandonné leur tentative. Ils ont cherché à revenir en accédant aux ressources des précédents réseaux Wi-Fi. L’enquête a également révélé qu’ils avaient probablement exploité d’autres failles, notamment un appareil VPN compromis. Cette stratégie minutieusement orchestrée, combinée aux moyens déployés, laisse peu de doute sur le caractère étatique de l’opération.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !