Dans sa lutte contre les hackers russes, l'administration Biden progresse

Publié: 2022-01-23

Le 14 janvier 2022, le FSB, le service de renseignement intérieur russe, a annoncé qu'il avait démantelé la célèbre organisation criminelle de rançongiciel REvil basée en Russie. Le FSB a déclaré que les mesures avaient été prises en réponse à une demande des autorités américaines.

Cette décision marque un changement radical dans la réponse de la Russie aux cyberattaques criminelles lancées contre des cibles américaines depuis la Russie, et intervient à un moment de tensions accrues entre les deux pays.

La politique et les actions américaines en réponse aux cyberattaques liées à la Russie ont nettement changé depuis l'entrée en fonction de l'administration Biden.

Le président Joe Biden a ouvertement confronté le président russe Vladimir Poutine sur sa responsabilité concernant les cyberattaques internationales, et l'administration Biden a pris des mesures sans précédent pour imposer des coûts aux cybercriminels russes et contrecarrer leurs efforts.

Dès son entrée en fonction, Biden a immédiatement été confronté à des défis difficiles de la part d'agents du renseignement et de criminels russes lors de cyberattaques qui ont fait la une des journaux contre des entreprises privées et des infrastructures critiques.

En tant que spécialiste des cyberopérations russes, je vois que l'administration a fait des progrès significatifs dans la réponse à la cyberagression russe, mais j'ai également des attentes claires sur ce que la cyberdéfense nationale peut et ne peut pas faire.

Compromis de la chaîne d'approvisionnement logicielle

Le piratage de SolarWinds effectué en 2020 a été une attaque réussie contre la chaîne mondiale d'approvisionnement en logiciels. Les pirates ont utilisé l'accès qu'ils ont obtenu à des milliers d'ordinateurs pour espionner neuf agences fédérales américaines et une centaine d'entreprises du secteur privé.

Les agences de sécurité américaines ont déclaré qu'un groupe de piratage sophistiqué, "probablement d'origine russe", était responsable de l'effort de collecte de renseignements.

Le 4 février 2021, Biden s'est adressé à Poutine dans une déclaration faite au département d'État. Biden a déclaré que l'époque où les États-Unis se retournaient face aux cyberattaques russes et à l'ingérence dans les élections américaines "est révolue".

Biden a promis de "ne pas hésiter à augmenter le coût pour la Russie". Le gouvernement américain n'avait pas encore émis d'actes d'accusation ni imposé de sanctions pour cyberespionnage, en partie par crainte qu'ils n'entraînent des actions réciproques de Moscou contre les pirates de la NSA et de la CIA.

Néanmoins, le département du Trésor américain a émis des sanctions contre le service russe de renseignement extérieur, le SVR, le 15 avril 2021.

Biden a également signé un décret exécutif pour moderniser la cybersécurité du gouvernement fédéral. Il a demandé aux agences de déployer des systèmes qui détectent les cyber-incursions, comme celui qui a repéré l'activité de SolarWinds chez Palo Alto Networks.

En parallèle, ses agences de sécurité ont publié des outils et des techniques utilisés par les gangs de SVR et de ransomwares pour aider les organisations à se défendre contre eux.

Les sanctions économiques et les barrières techniques n'ont cependant pas ralenti les efforts du SVR pour recueillir des renseignements sur la politique étrangère américaine. En mai 2021, Microsoft a révélé que des pirates informatiques associés à la Russie exploitaient le service de publipostage Constant Contact.

En se faisant passer pour l'Agence américaine pour le développement international, ils ont envoyé des e-mails authentiques avec des liens vers plus de 150 organisations, qui, une fois cliquées, ont inséré un fichier malveillant permettant l'accès à l'ordinateur.

Attaques de rançongiciels

Toujours en mai, l'arrêt du Colonial Pipeline par une attaque de ransomware par le cybergang russe DarkSide a interrompu le flux de près de la moitié du gaz et du carburéacteur vers la côte Est.

Des chauffeurs paniqués se sont précipités pour faire le plein alors que les prix s'envolaient. Un mois plus tard, les consommateurs se sont précipités pour trouver des alternatives à la viande après que REvil ait infecté le transformateur de bœuf et de porc JBS USA avec un ransomware.

Biden a déclaré que la Russie avait "une certaine responsabilité pour gérer cela". Lors d'un sommet à Genève en juin, il a remis à Poutine une liste d'infrastructures critiques interdites qui mériteraient une réponse américaine en cas d'attaque.

Il est probable que les services de renseignement russes et les forces de l'ordre aient une entente tacite avec les cybercriminels et puissent fermer leurs ressources.

Bien que ne comptant pas sur Poutine pour exercer son influence, la Maison Blanche a formé un groupe de travail sur les rançongiciels pour poursuivre l'offensive contre les gangs.

La première étape consistait à utiliser un programme de lutte contre le terrorisme pour offrir des récompenses allant jusqu'à 10 millions de dollars américains pour des informations sur les pirates à l'origine de violations d'infrastructures critiques sanctionnées par l'État.

En étroite collaboration avec des partenaires internationaux, le ministère de la Justice a annoncé l'arrestation d'un ressortissant ukrainien en Pologne, accusé de l'attaque du rançongiciel REvil contre Kaseya, un fournisseur de logiciels informatiques.

Le ministère de la Justice a également saisi 6,1 millions de dollars en crypto-monnaie auprès d'un autre opérateur REvil. Les autorités roumaines ont arrêté deux autres personnes impliquées dans des attaques REvil.

Les forces de l'ordre américaines ont saisi 2,3 millions de dollars payés en rançon à DarkSide par Colonial Pipeline en utilisant une clé privée pour déverrouiller le bitcoin. Et le département du Trésor a perturbé les échanges de devises virtuelles SUEX et Chatex pour blanchir le produit des rançongiciels.

Les sanctions du Département du Trésor ont bloqué tous leurs biens aux États-Unis et interdit aux citoyens américains d'effectuer des transactions avec eux.

Le général Paul Nakasone, directeur de l'Agence de sécurité nationale, témoignant devant la commission du renseignement de la Chambre le 15 avril 2021. Al Drago/Pool via AP
Le général Paul Nakasone, directeur de l'Agence de sécurité nationale, témoignant devant la commission du renseignement de la Chambre le 15 avril 2021. Al Drago/Pool via AP

De plus, le principal cyberguerrier américain, le général Paul Nakasone, a reconnu pour la première fois en public que l'armée américaine avait pris des mesures offensives contre les groupes de rançongiciels. En octobre, le Cyber ​​Command américain a bloqué le site Web REvil en redirigeant le trafic, ce qui a empêché le groupe d'extorquer des victimes. Après que REvil ait réalisé que son serveur était compromis, il a cessé ses activités.

Limites des réponses américaines

La Russie mène ou tolère les cyberattaques par des groupes étatiques et criminels qui profitent des lacunes du droit international et évitent de franchir les lignes de sécurité nationale.

En octobre, le SVR a multiplié les tentatives d'effraction dans les entreprises technologiques pour voler des informations sensibles. Les responsables américains considéraient l'opération comme un espionnage de routine. La réalité que le droit international n'interdit pas l'espionnage en soi empêche les réponses américaines qui pourraient servir de puissants moyens de dissuasion.

De même, après que le cybergang BlackMatter a lancé une attaque par rançongiciel contre une coopérative agricole de l'Iowa en septembre, le gang a affirmé que la coopérative ne comptait pas comme une infrastructure critique. L'affirmation du gang fait référence à des cibles de cyberattaques qui entraîneraient une réponse nationale du gouvernement américain.

Malgré cette ambiguïté, l'administration a déchaîné l'armée pour contrecarrer les efforts des groupes de rançongiciels, tandis que les forces de l'ordre s'en sont pris à leurs dirigeants et à leur argent, et que des organisations aux États-Unis ont renforcé la défense de leurs systèmes d'information.

Bien que les pirates informatiques contrôlés par le gouvernement puissent persister et que des groupes criminels disparaissent, se reconstruisent et changent de marque, à mon avis, les coûts élevés imposés par l'administration Biden pourraient entraver leur succès.

Néanmoins, il est important de garder à l'esprit que la cyberdéfense nationale est un problème extrêmement difficile et qu'il est peu probable que les États-Unis soient en mesure d'éliminer la menace.

Note de l'éditeur : cet article a été rédigé par Scott Jasper, maître de conférences en affaires de sécurité nationale à la Naval Postgraduate School, et republié avec l'autorisation de The Conversation sous une licence Creative Commons. Lire l'article d'origine.

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

  • Les escrocs volent des chèques dans les boîtes aux lettres et les transforment en bitcoin - voici comment ils le font
  • Nissan pourrait être la plus grande menace pour Tesla en ce moment – ​​voici pourquoi
  • Computer Space a révolutionné l'industrie du jeu - voici pourquoi vous n'en avez probablement pas entendu parler
  • L'enquête du WSJ sur Facebook pourrait enfin entraîner Mark Zuckerberg dans de graves ennuis
La conversation