Les services américains de cyberdéfense ont repéré puis bloqué la prolifération d’un logiciel malveillant. Un groupe célèbre de hackers russes serait à l’origine de cette cyberattaque.

Washington prend ses précautions. Le FBI, la police fédérale américaine, a déclaré mercredi 6 avril 2022 avoir démantelé un réseau mondial composé de milliers d’ordinateurs infectés et contrôlés par les services de renseignements russes.

Concrètement, les services de cyber sécurité sont parvenus à bloquer un logiciel malveillant destiné à créer des « botnets », c’est-à-dire des réseaux d’ordinateurs infectés puis détournés pour attaquer ou surveiller une cible. Washington est formelle, selon le New York Times, le botnet appelé Cyclops Blink est sous le contrôle de Sandworm, une unité du service de renseignements militaires russe, le GRU. Les agences de cyberdéfense américaines et britanniques avaient publiquement attribué ce malware aux hackers de Moscou en février dernier.

« Le gouvernement russe a récemment utilisé une infrastructure similaire pour attaquer des cibles ukrainiennes, a déclaré le procureur général Merrick Garland aux journalistes. Heureusement, nous avons été en mesure de bloquer ce botnet avant qu’il ne puisse être utilisé. »

firebox
Paradoxalement, les box de la société de cyberprotection Watchguard étaient directement visées par le malware. // Source : Watchguard

Cyclops Blink a été conçu pour détourner des dispositifs fabriqués par la société taiwanaise Asus et équipés des logiciels firewall de WatchGuard, selon les recherches effectuées par des entreprises privées de cybersécurité. Il fournit aux services russes un accès à ces systèmes compromis, offrant la possibilité d’exfiltrer ou de supprimer des données à distance ou de retourner les appareils contre un tiers.

Un groupe de hackers russe spécialisé dans le piratage de masse

Le directeur du FBI Chris Wray a déclaré aux journalistes de Reuters que son service « a supprimé ce logiciel malveillant des appareils utilisés par des milliers d’entreprises, pour la plupart petites ». Il a ajouté : « nous avons fermé la porte que les Russes avaient utilisée pour y pénétrer ».

Sandworm est une unité bien connue des services de cyberdéfense puisqu’elle était déjà impliquée dans les attaques de centrales électriques ukrainiennes en 2015 et dans le piratage massif des appareils connectés durant la cérémonie d’ouverture des Jeux olympiques de 2018 en Corée du Sud.

Depuis le début de l’invasion de l’Ukraine par la Russie, plusieurs cyberattaques ont eu lieu, comme celle contre la société d’Internet par satellite Viasat, qui, selon le Washington Post, a été menée par le gouvernement russe. Plus récemment des hackers liés à Moscou auraient mené une vaste campagne de phishing depuis un lien piégé pour contrôler les comptes Telegram.