En levant le voile sur un lien entre deux cellules d'attaquants russophones, Kaspersky dévoile une part de l'organisation de l'arsenal cyber russe et ses tactiques.

Ce jeudi 24 janvier, la société moscovite de cybersécurité Kaspersky a publié des travaux  mettant en avant une relation entre deux cellules de hackers russes. Pour la firme, les groupes d’attaquants GreyEnergy et Sofaci partageraient suffisamment d’équipements pour témoigner d’un lien : selon le département ICS CERT du Kaspersky Lab, spécialisé sur les menaces contre les systèmes industriels, deux serveurs ont été partagés par les groupes lors d’attaques en 2018.

L’un et l’autre groupe sont connus pour être originaires de Russie et dotés d’importantes ressources : le premier, GreyEnergy, est un descendant direct de BlackEnergy — rendu célèbre pour l’attaque réussie contre une installation électrique en Ukraine en 2015 –, et l’autre, Sofacy (aussi connue sous les dénominations Fancy Bear et APT 28), est reliée par les chercheurs au renseignement russe et lui a été attribuée le piratage du Comité National Démocrate (DNC) en 2016.

Deux serveurs en commun

Le lien entre ces deux groupes, dont les actions ont pu défendre directement ou non les intérêts du pouvoir russe par le passé, était déjà examiné par la communauté de chercheurs en cybersécurité. La firme slovaque ESET avait déjà mis en avant un lien entre GreyEnergy et Telebot, à l’origine de NotPetya. Toutefois, il apparaît désormais certain que les deux groupes ici mentionnés partagent davantage qu’un agenda.

Au même moment et à l’encontre d’une même cible, deux serveurs ont été utilisés par les deux groupes conjointement, selon Kaspersky. Un serveur en Suède et un en Russie ont permis à GreyEnergy d’héberger un malware distribué avec une campagne d’hameçonnage et à Sofacy d’installer un centre de commande et de contrôle pour son propre malware. Cette découverte témoigne de la mise en place d’un partage organisé d’infrastructures.

Pixabay

Les deux attaques, menées en juin 2018, visaient la même entreprise qui a été, selon Kaspersky, ciblée à deux reprises par une campagne d’hameçonnage : « les deux groupes ont employé des documents de phishing similaires, prétendant provenir du Ministère de l’Énergie de la République du Kazakhstan  » écrit la société de cybersécurité.

«  Plus les experts en sécurité en sauront sur les tactiques, techniques et procédures de ces groupes, mieux ils seront à même d’accomplir leur travail consistant à protéger leurs clients contre des attaques complexes » écrit Maria Garnaeva, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

Plus largement, c’est l’arsenal cyber russe qui se dévoile sous un jour nouveau : structuré, coordonné et, en conséquence, très puissant. Kaspersky, qui par la voix de son directeur général en France, Tanguy de Coatpont, rappelait auprès de Cyberguerre qu’il n’était pas dans l’ADN de l’entreprise de pointer des responsabilités politiques, donne là seulement des clefs techniques pour éclaircir le paysage cyber.

Partager sur les réseaux sociaux