Le retour des cyber ours russes dans les affaires politiques mondiales ?

Une cyberattaque a visé plusieurs partis politiques en France, en Allemagne, au Canada, etc. Et si les hackers cachés derrière ces cyberattaques étaient tous à la solde de Fancy Bear, une entité pirate aux ordres du renseignement russe ?

La ministre allemande des Affaires étrangères, Annalena Baerbock, a affirmé lors d’une conférence de presse en Australie que l’attaque contre le SPD en janvier 2023 avait été menée par APT28, sous la direction des services de renseignement russes. A l’époque, le gouvernement allemand avait convoqué le chargé d’affaires de l’ambassade russe en signe de protestation contre ces actions. En République tchèque, le ministère des Affaires étrangères a déclaré que des institutions avaient été visées par des cyberattaques similaires, avec des liens présumés avec les services de renseignement militaire russes, le GRU.

Le groupe APT28, également connu sous le nom de « Fancy Bear« , est accusé d’être responsable de nombreuses cyberattaques à travers le monde, notamment en France où il a ciblé des institutions gouvernementales et des entreprises. Les méthodes incluent l’utilisation de courriels piégés (hameçonnage) ou encore de l’exploitation de vulnérabilités logicielles pour accéder aux systèmes informatiques.

Cette attaque soulève des préoccupations quant à l’ingérence politique, avec des précédents comme les « MacronLeaks » lors de l’élection présidentielle française de 2017. Les liens entre APT28 et le GRU, le renseignement militaire russe, avaient été établis dans plusieurs enquêtes.

Fancy Bear, également connu sous les noms d’APT28, Sofacy et Strontium, est un groupe de cyber espionnage associé à l’agence de renseignement militaire russe, le GRU. Actif depuis au moins 2008, ce groupe a mené des opérations complexes et étendues à travers le monde, ciblant des gouvernements, des organisations militaires, des entreprises de défense, des médias et des dissidents politiques.

Parmi les incidents notables attribués à Fancy Bear, on compte l’ingérence dans l’élection présidentielle américaine de 2016 et des attaques contre le parlement allemand en 2015. Ces opérations présumées signées Fancy Bear seraient donc un élément clé dans les efforts de renseignement russes, visant à influencer les affaires internationales en faveur des intérêts de la Russie.

Cyberattaques attribuées à Fancy Bear

ZATAZ vous a regroupé des attaques attribuées à Fancy Bear. Par exemple, contre le Comité National Démocrate (DNC) en 2016. Fancy Bear a joué un rôle majeur dans les cyberattaques lors des élections présidentielles américaines de 2016, en infiltrant le réseau du DNC. Ces attaques ont abouti à la fuite de courriels et de documents internes, influençant la couverture médiatique et la perception publique de la campagne. Plusieurs pirates avaient été piratés, dont un en Espagne [ici]. L’un des pirates, le Roumain Guccifer, avait fait courrier le FBI pendant des mois avant d’être condamné à 4 ans de prison.

Cyberattaque contre le Bundestag allemand en 2015 : Fancy Bear est soupçonné d’avoir mené une attaque de plusieurs mois contre le parlement allemand, paralysant l’infrastructure informatique du Bundestag et entraînant un vol massif de données. Ils auraient fait le même coup, en 2023.

Attaques contre l’Organisation pour la Sécurité et la Coopération en Europe (OSCE) en 2016 : l’OSCE, qui inclut des missions de surveillance en Ukraine, a été ciblée par des attaques de phishing sophistiquées, attribuées à Fancy Bear. Ces attaques visaient à obtenir des informations sensibles sur les opérations et le personnel de l’OSCE.

Attaques contre TV5 Monde en 2015 : en avril 2015, Fancy Bear est soupçonné d’avoir lancé une cyberattaque contre la chaîne de télévision française TV5 Monde, perturbant ses opérations de diffusion et son infrastructure numérique. Cette attaque a été initialement attribuée à des groupes islamistes. ZATAZ vous avait révélé à l’époque que les pirates étaient passés par l’Amérique du Sud, et qu’un des instigateurs avaient été arrêtés dans un pays de l’Est. Des enquêtes ultérieures ont pointé la malveillance vers Fancy Bear.

Intrusions dans les réseaux de l’Agence Mondiale Antidopage (AMA) en 2016 : après les révélations sur le dopage d’État en Russie, Fancy Bear aurait piraté l’AMA, divulguant des informations confidentielles sur des athlètes non russes. Au mois d’août 2016, ZATAZ vous indiquait qu’un mystérieux groupe polonais signait cette fuite. L’attaque semblait être une tentative de discréditer l’AMA et de détourner l’attention des accusations portées contre la Russie. En septembre 2016, Fancy Bear diffusait [et plus les Anonymous polonais] des dizaines de données de tests de sportifs américains effectués au Jeux Olympiques. Mais pas que des Américains, je vous expliquais à l’époque la présence de Danois, Roumains, Allemands… et Russes.

Attaques contre l’élection présidentielle française de 2017 : Fancy Bear est également accusé d’avoir tenté d’influencer les élections présidentielles françaises de 2017. Les attaques comprenaient le lancement de campagnes de phishing contre les membres de l’équipe de campagne d’Emmanuel Macron, dans le but de voler des informations confidentielles potentiellement embarrassantes. Il en découlera de nombreuses fausses informations diffusées sous le nom de MacronLeak.

Snatch, Lockbit, Sandword, Fancy Beat aux ordres du GRU ?

Depuis des semaines, plusieurs groupes de pirates informatiques, qui semblent ne pas se connaître, ni partager les mêmes motivations de cybermalveillance (ransomware, hacktivisme, DDoS, etc.), ont pris pour cible les instances politiques (ou sociétales) de plusieurs pays occidentaux. Ils ne visent pas un pays plus que l’autre, comme on peut l’entendre dire, surtout chez les rançonneurs. Je vous passerai Killnet, NoName057(16), moins pesant pour le premier, toujours aussi diffuseur de DDoS pour le second [il vise, en ce moment, l’Italie et la Roumanie]. Je vous passerai aussi des groupes qui ont rempli des pages dans la presse, comme Anonymous Sudan. Des groupes aussi éphémères que les « alertes » diffusées sur Twitter/X. Des groupes qui ont disparu après des « coups d’éclat« , comme ZATAZ a pu vous l’expliquer.

Prenons d’autres exemples. D’abord LockBit. Ce pirate, loueur d’outils dédiés à la prise d’otage numérique d’entreprise, s’attaquerait aux hôpitaux français pour se faire de la publicité ! Premièrement, l’hexagone n’est qu’un épiphénomène pour ce groupe affichant des dizaines d’affiliés. Au dernier recensement, ils étaient plus de 150. Des francs-tireurs qui infiltrent, exfiltrent et prennent en otage tout ce qui peut leur passer sous la main. « La politique, je m’en moque. Seul l’argent nous intéresse. » indique Lockbit. Il prend entre 20 et 30% des sommes qui ont pu être versées par des entreprises prises en otage par les affilés, et acceptant de payer la rançon réclamée.

Lockbit avait expliqué, il y a quelques mois, ne pas bloquer les espaces de santé (comme le CH de Cannes), mais ne pas hésiter à copier les informations de santé pour demander de l’argent, ensuite. Bref, Lockbit n’a pas besoin des hôpitaux ou de la France pour asseoir sa – notoriété. Mais cela n’empêche pas de penser qu’il est commandité par une instance politique étatique. Dans un espace pirate dont ZATAZ a un accès, LockBit a été montré du doigt par plusieurs hackers malveillants, indiquant clairement et ouvertement (dans cet espace privé fort de plusieurs centaines de membres russophones) que derrière LockBit se cache un bras du FSB, le service de renseignement intérieur russe.

Autre groupe, SNATCH. D’abord connu pour des larcins numériques (CityComp, BMK, KCSA, etc.), le pirate affiche depuis des semaines de présumés données personnelles de dizaines d’hommes et de femmes politiques à travers le monde. Enfin, quand je parle du monde, il vise surtout le Canada, les États-Unis, le Royaume-Uni ou encore la France. Le Président Américain Joe Biden, mais aussi la famille royale d’Angleterre, le Premier ministre Canadien Justin Trudeau, le responsable du MI6 [Secret Intelligence Service (SIS), l’agence de renseignement extérieur du Royaume-Uni], ou encore Rishi Sunak, 1er ministre du Royaume-Uni, ont été affichés par cet hacktiviste qui ne cache pas son regard bienveillant vers la Russie. Les présumés adresses électroniques personnelles, adresse postales, téléphones, numéros de sécurité sociale, dans certains cas, mots de passe ont été diffusés. De quoi fabriquer de fausses informations, des rumeurs, Etc. lors d’élections par exemple [ex. Macronleak].

Bref, autant de bras armés numériques directs et indirects, qui perturbent et qui tentent de saper le moral des entreprises, quand ce n’est pas d’un pays tout entier.

Pour éviter qu’ils gagnent du terrain dans les esprits, et si vous voyez passer leur propagande, ne les partagez pas !

Recevez les infos de la semaine ZATAZ, chaque samedi, via la news letter des cyber’actus.