L'opération Ghostwriter, orchestrée par une branche du renseignement russe, aurait fait de nouvelles victimes.

Des parlementaires allemands sont victimes d’une campagne de cyberespionnage. D’après Der Spiegel, les adresses email de 7 élus du Bundestag (le parlement national) et de 31 élus des Landtag (les parlements locaux) ont été récemment compromises par des hackers. Les autorités soupçonnent le GRU, une branche du renseignement militaire russe, d’être à l’origine des piratages. Cette unité est régulièrement mentionnée, directement ou indirectement, dans les joutes géopolitiques attribuées à la Russie.

Le 27 mars, le porte-parole du Bundestag Frank Bergmann a expliqué à The Record Media que tous les élus touchés ont été prévenus. Il a aussi précisé que les hackers ne s’en sont pas pris à l’infrastructure informatique du Bundestag, mais qu’ils ont plutôt visé les adresses email privées des élus avec des campagnes de phishing sur-mesure. C’est un point faible des organisations : elles peuvent contrôler le niveau de sécurité des adresses professionnelles avec toutes sortes de filtres et d’outils, mais elles ne peuvent pas contrôler l’usage d’adresses personnelles, dont la protection atteint rarement un niveau suffisant pour les types de cybermenaces auxquels les députés sont confrontés.

Les attaques contre les députés allemands feraient partie de l’opération Ghostwriter. // Source : CCO/Flickr

Selon Der Spiegel, les hackers auraient imité l’adresse email de personnes en qui les élus avaient confiance pour mieux les piéger. Ce tour de passe-passe est relativement facile à mettre en place techniquement, mais il nécessite une collecte d’information au préalable, signe que l’attaque était ciblée, et que les hackers avaient travaillé leurs dossiers. Leur objectif final : obtenir un accès illimité aux courriels des élus pour espionner les principaux décisionnaires du pays.

Ghostwriter frappe à nouveau

Ces attaques seraient lancées dans le cadre d’une opération commanditée par le GRU, connu sous le nom Ghostwriter. Débutée en 2017, l’opération a fait l’objet de plusieurs rapports, dont un de FireEye, daté de l’an dernier. Ghostwriter œuvre pour l’agenda politique russe : en 2017, ses opérateurs avaient orchestré une campagne de désinformation en Lituanie, Lettonie et Pologne, dans l’objectif d’alimenter la méfiance contre l’OTAN. C’est d’ailleurs de cette capacité à fabriquer des fake news que l’opération tient son nom. Pour les diffuser, les hackers piratent les adresses email de responsables politiques et des comptes de réseaux sociaux très suivis. Dans son rapport, FireEye précise que les outils et tactiques employés dans le cadre de Ghostwriter varient d’une cyberattaque à l’autre, de sorte qu’il n’est pas toujours évident de déceler le lien entre elles.

Ce ne serait pas la première fois que le renseignement russe s’en prend au Bundestag. En 2015 déjà, les ordinateurs de plusieurs élus, dont celui d’Angela Merkel, étaient la cible de cyberattaques. Les hackers étaient parvenus à s’emparer de plusieurs gigaoctets de données. À la suite de l’incident, les autorités allemandes sont remontées jusqu’à Dmitri Sergeyevich Badin, un hacker affilié au GRU, qui aurait orchestré l’attaque. La justice a publié un mandat d’arrêt contre ce Russe de 30 ans en mai 2020. Ce dossier pourrait se refermer, mais les nouveaux piratages en ouvrent un autre.

Crédit photo de la une : CCO/WIkimedia

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux