Attaques sur les énergéticiens occidentaux : Washington accuse la Russie

Des alertes de longue date

En septembre dernier, Symantec assurait que le groupe Dragonfly, aussi connu sous les noms d’Energetic Bear et de Crouching Yeti, était de retour. Selon l’éditeur, il pilotait une vaste campagne d’espionnage, ciblée sur les énergéticiens occidentaux, depuis la fin 2015, avec un objectif principal de reconnaissance. Et ce n’était pas une première.

Déjà en juillet 2014, Symantec sonnait le tocsin, assurant que Dragonfly avait déjà réussi à collecter des données permettant de conduire des opérations de sabotage. A l’époque, l’éditeur l’assurait : « s’ils avaient utilisé les capacités de sabotage qui leur sont offertes, ils auraient pu causer des dommages et des perturbations dans la fourniture énergétique des pays affectés ». Parmi eux : les Etats-Unis, l’Espagne, la France, l’Italie, l’Allemagne, la Turquie et la Pologne. Aujourd’hui, les principaux pays concernés seraient les Etats-Unis, la Suisse et la Turquie.

Mais en juillet dernier, les équipes de Talos, chez Cisco, détaillaient des tentatives de phishing visant des entreprises de l’énergie et des infrastructures critiques à travers le monde, principalement en Europe et aux Etats-Unis. Mais sans avancer de lien formel.

Le rapport conjoint du DHS et du FBI franchit en revanche ce pas. Il reprend tous les indicateurs publiés par Talos à l’été dernier, ainsi que plusieurs publiés en septembre par Symantec – mais pas tous –, et d’autres publiés à l’automne par RiskIQ.

Des activités dans la durée

L’examen des 98 indicateurs intégrés au rapport apporte aussi son lot de nouveautés. De nombreux échantillons pour lesquels une empreinte MD5 est fournie sont inconnus des incontournables Virus Total et Hybrid Analysis, mais des redondances, assorties de variations minimes, ne sont pas à exclure.

Une grande majorité d’indicateurs sont référencés comme ayant été observés ou analysés pour la première fois l’an dernier. En particulier, pour certaines adresses IP appelées par des exécutables malicieux, les observations publiques se situent essentiellement entre juillet et septembre derniers.

Dans leur rapport conjoint, le DHS et le FBI font remonter à mars 2016 le début de l’opération qu’ils dénoncent. Mais l’un des échantillons auxquels ils font référence a été soumis pour la première fois à l’une des grandes plateformes d’analyse mentionnées plus haut fin janvier 2016 ; un document Word piégé. Un autre document de ce type a même été analysé en décembre 2015. Un téléchargeur de charge malveillante étudié pour la première fois en février 2009, mais compilé en mars 2008, est même du lot, de même que deux maliciels observés initialement en novembre 2010. En 2014, Symantec estimait que le groupe Dragonfly était actif au moins depuis 2011. Kaspersky visait quant à lui 2010.

Des signes qui pointent vers l’Est

Sans s’avancer sur la qualité des conclusions du rapport conjoint du DHS et du FBI, Robert Lee, patron de Dragos, un spécialiste de la sécurité des systèmes informatiques industriels (ICS/Scada), juge le document « très bien fait ». Un discours bien différent de celui qu’il tenait, il y a un peu plus d’un an, au sujet du rapport sur l’opération dite Grizzly Steppe. Certains, toutefois, comme Costin Raiu, de Kaspersky, ou Juan Andres Guerrero-Saade, de Recorded Future, relèvent des faiblesses dans les règles de détection Yara proposées.

Dans les colonnes du Wall Street Journal, Amit Yoran, aujourd’hui Pdg de Tenable, estime que « le fait que le DHS et le FBI aient attribué des tentatives d’attaque et de compromission d’infrastructures critiques aux Etats-Unis à la Russie est sans précédent et extraordinaire ».

Déjà en 2014, Symantec estimait que le groupe Dragonfly œuvrait probablement depuis l’Europe de l’Est. A la même époque, CrowdStrike évoquait des « liens avec la Russie ». Toutefois, compte tenu des méthodes utilisées par le groupe, comme la réutilisation d’outil disponibles publiquement et le risque de leurres, la plupart des experts ont préféré rester réservés.

Dans une déclaration envoyée par e-mail, Phil Neray, vice-président de CyberX, estime toutefois que l’alerte conjointe du FBI et du DHS « confirme ce que la communauté des ICS sait depuis des mois : les attaquants russes ont la volonté et la capacité de compromettre les réseaux de nos infrastructures critiques, jusqu’à nos installations nucléaires ». Pour lui, « il est facile de voir comment la Russie pour tirer profit de ces positions dangereuses pour tester nos lignes rouges et nous menacer de sabotage dans le cas de tensions accrues, comme de nouvelles incursions russes dans les territoires de l’ex-Union soviétique ».