En levant le voile sur un lien entre deux cellules d’attaquants russophones, Kaspersky dévoile une part de l’organisation de l’arsenal cyber russe et ses tactiques.

Ce jeudi 24 janvier, la société moscovite de cybersécurité Kaspersky a publié des travaux  mettant en avant une relation entre deux cellules de hackers russes. Pour la firme, les groupes d’attaquants GreyEnergy et Sofaci partageraient suffisamment d’équipements pour témoigner d’un lien : selon le département ICS CERT du Kaspersky Lab, spécialisé sur les menaces contre les systèmes industriels, deux serveurs ont été partagés par les groupes lors d’attaques en 2018.

L’un et l’autre groupe sont connus pour être originaires de Russie et dotés d’importantes ressources : le premier, GreyEnergy, est un descendant direct de BlackEnergy — rendu célèbre pour l’attaque réussie contre une installation électrique en Ukraine en 2015 –, et l’autre, Sofacy (aussi connue sous les dénominations Fancy Bear et APT 28), est reliée par les chercheurs au renseignement russe et lui a été attribuée le piratage du Comité National Démocrate (DNC) en 2016.

Deux serveurs en commun

Le lien entre ces deux groupes, dont les actions ont pu défendre directement ou non les intérêts du pouvoir russe par le passé, était déjà examiné par la communauté de chercheurs en cybersécurité. La firme slovaque ESET avait déjà mis en avant un lien entre GreyEnergy et Telebot, à l’origine de NotPetya. Toutefois, il apparaît désormais certain que les deux groupes ici mentionnés partagent davantage qu’un agenda.

Au même moment et à l’encontre d’une même cible, deux serveurs ont été utilisés par les deux groupes conjointement, selon Kaspersky. Un serveur en Suède et un en Russie ont permis à GreyEnergy d’héberger un malware distribué avec une campagne d’hameçonnage et à Sofacy d’installer un centre de commande et de contrôle pour son propre malware. Cette découverte témoigne de la mise en place d’un partage organisé d’infrastructures.

Les deux attaques, menées en juin 2018, visaient la même entreprise qui a été, selon Kaspersky, ciblée à deux reprises par une campagne d’hameçonnage : « les deux groupes ont employé des documents de phishing similaires, prétendant provenir du Ministère de l’Énergie de la République du Kazakhstan » écrit la société de cybersécurité.

« Plus les experts en sécurité en sauront sur les tactiques, techniques et procédures de ces groupes, mieux ils seront à même d’accomplir leur travail consistant à protéger leurs clients contre des attaques complexes » écrit Maria Garnaeva, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

Plus largement, c’est l’arsenal cyber russe qui se dévoile sous un jour nouveau : structuré, coordonné et, en conséquence, très puissant. Kaspersky, qui par la voix de son directeur général en France, Tanguy de Coatpont, rappelait auprès de Cyberguerre qu’il n’était pas dans l’ADN de l’entreprise de pointer des responsabilités politiques, donne là seulement des clefs techniques pour éclaircir le paysage cyber.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !