Un groupe de rançongiciels a payé le prix pour avoir soutenu la Russie

0
156

Alors que l'invasion de l'Ukraine par la Russie entre dans son cinquième jour, une coalition dirigée par les États-Unis et l'Europe a mis en place une réponse coordonnée axée sur les sanctions financières et, de plus en plus, sur l'aide militaire. Alors que le conflit prend de l'ampleur et de l'intensité, des organisations bien au-delà de l'appareil militaire et gouvernemental sont attirées, y compris des groupes de rançongiciels actifs en Russie et en Ukraine.

Cette attraction gravitationnelle est particulièrement forte en Russie, où les frontières entre les pirates et les services de renseignement russes sont parfois poreuses, et où un groupe en particulier a dû payer pour son allégeance au Régime Poutine.

Vendredi, le célèbre gang de rançongiciels Conti a surpris de nombreux observateurs en partageant explicitement le programme militaire de Poutine, en déclarant son “soutien total” au gouvernement russe et en menaçant de lancer des attaques contre les infrastructures critiques de tout adversaire lançant des cyberattaques contre la Russie.

Deux jours plus tard, le 27 février, la posture de Conti s'est retournée contre lui de manière spectaculaire lorsqu'un individu anonyme a divulgué un cache de journaux de discussion de l'organisation, révélant une énorme quantité d'informations inédites sur le fonctionnement interne du groupe de rançongiciels.

Les données divulguées contiennent plus d'un an de journaux de discussion du service de messagerie instantanée open source Jabber, contenant des messages entre au moins 20 poignées de discussion présumées appartenir à des membres du gang. Entre autres choses, ces journaux semblent confirmer une chaîne de commandement reliant Conti aux agences de renseignement russes. Selon Christo Grozev, directeur exécutif du groupe de recherche sur le renseignement open source Bellingcat, les journaux de discussion montrent que des membres de Conti ont tenté de pirater un contributeur de Bellingcat sur ordre du principal service de sécurité intérieure russe, le FSB.

La Russie a été largement critiquée pour avoir hébergé des groupes cybercriminels dans le passé, et à quelques exceptions près – notamment le démantèlement public du groupe de hackers REvil par le FSB en janvier – ils sont largement autorisés à opérer en toute impunité à condition qu'ils s'abstiennent d'attaquer des cibles nationales. Mais alors que la proximité avec le gouvernement russe a été un avantage pour les cybercriminels dans le passé, certains signes indiquent que la dynamique de l'invasion ukrainienne en fait un handicap.

Bien que l'identité du bailleur n'ait pas été révélée, Alex Holden, le fondateur d'origine ukrainienne de la société de cybersécurité Hold Security, a déclaré que les journaux avaient été divulgués par un chercheur ukrainien en sécurité qui avait réussi à infiltrer le gang Conti.

“C'est un citoyen ukrainien, un chercheur légitime en cybersécurité, qui fait cela dans le cadre de sa guerre contre les cybercriminels qui soutiennent l'invasion russe”, a déclaré Holden. D'autres détails sur l'identité du bailleur ne pourraient pas être divulgués sans risquer sa sécurité, a déclaré Holden.

“C'est un citoyen ukrainien … qui fait cela dans le cadre de sa guerre contre les cybercriminels qui soutiennent l'invasion russe”

The Record rapporte également que les journaux de discussion contiennent des adresses Bitcoin où les paiements effectués au Conti gang ont été reçus, ainsi que des messages détaillant les négociations entre Conti et les entreprises qui n'avaient pas divulgué d'incident de ransomware.

Bill Demirkapi, un chercheur en sécurité qui a publié une version des journaux traduits en anglais via Google, a confirmé à The Verge que les journaux contenaient des détails sur l'infrastructure technique de Conti, les opérations logistiques, des discussions sur les vulnérabilités du jour zéro et des détails sur l'outillage interne. Compte tenu du court délai depuis la publication des journaux, a déclaré Demirkapi, il était difficile d'évaluer l'impact à long terme que cela aurait sur le groupe.

Bien que bon nombre des groupes de rançongiciels les plus prolifiques soient considérés comme alignés sur la Russie, dans la pratique, nombre d'entre eux sont des entités transnationales et comprennent une diversité d'ethnies et de nationalités, a déclaré Chester Wisniewski, chercheur principal chez Sophos. L'opinion internationale étant massivement favorable à l'Ukraine, nombre d'entre eux ont peut-être décidé d'éviter le conflit plutôt que de déclarer leur soutien à l'invasion russe.

“La nature polarisante de ce conflit – qui semble effectivement être le monde entier contre la Russie – signifie qu'il y a beaucoup moins d'activité [cybercriminelle] que prévu”, a déclaré Wisniewski. “Je pense qu'il y a beaucoup de sympathie pour l'Ukraine parmi les membres de ces différents groupes, et par conséquent, ils s'abstiennent.”

“Pour nous, ce ne sont que des affaires et nous sommes tous apolitiques”

LockBit, un autre groupe de rançongiciels et effectivement un concurrent de Conti, a publié dimanche une déclaration disant que le groupe ne ciblerait pas les infrastructures occidentales, soi-disant en raison de la composition internationale de l'organisation. Plutôt que de professer un quelconque soutien à l'Ukraine, la déclaration a déclaré la neutralité dans le conflit.

“Pour nous, ce ne sont que des affaires et nous sommes tous apolitiques”, a déclaré le message publié par LockBit.

Bien que les gangs de rançongiciels (à l'exception de Conti) aient été réticents à choisir leur camp, certains groupes hacktivistes – qui sont par définition politiques – se sont précipités pour rejoindre la cause. Un groupe hacktiviste opérant depuis la Biélorussie a prétendu perturber le mouvement des unités militaires en fermant les chemins de fer dans le pays, après que le gouvernement biélorusse a lancé des frappes de missiles contre l'Ukraine et a accepté de soutenir la Russie en envoyant des troupes au-delà de la frontière ukrainienne.

Par ailleurs, un compte Twitter lié à Anonymous a déclaré que le collectif de piratage était “officiellement en cyberguerre contre le gouvernement russe”, et le groupe a revendiqué la responsabilité d'un certain nombre d'attaques DDoS et d'autres piratage contre les sites Web et les chaînes médiatiques du gouvernement russe.

Bien que d'autres groupes dotés de capacités de piratage offensif puissent être tentés de se joindre au conflit, les professionnels de la cybersécurité ont mis en garde contre une escalade. Indépendamment de l'intention, les cyberattaques peuvent avoir des conséquences imprévues, en particulier si les cibles sont liées à l'infrastructure ou à d'autres services critiques avec des applications au-delà de l'armée.

“Je m'inquiète des dommages collatéraux du bons gars », les justiciers », a déclaré Wisniewski. “Encourager les gens à attaquer [des cybercibles], c'est pour moi une situation très dangereuse… ce n'est pas seulement une activité innocente dont on ne connaît pas les effets secondaires.”