Cyberattaque au Monténégro : de l’accusation de Moscou à la revendication de Cuba

Le 26 août, Marasj Dukaj, ministre de l’administration publique du Monténégro, dénonçait une « une nouvelle série de cyberattaques organisées contre l’infrastructure IT du gouvernement ». Selon lui, celles-ci visaient en priorité « la structure des autorités d’État ». L’agence locale de la sécurité nationale a aussitôt blâmé la Russie pour ces attaques. Le premier ministre, Dritan Abazovic, a quant à lui affirmé que ces cyberattaques étaient motivées politiquement. Le 28 août, il a remercié la France du soutien promis de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Le FBI est également venu à la rescousse.

Mais une piste plus prosaïque n’était pas à exclure : celle du ransomware. Le Costa Rica est tristement bien placé pour savoir que les cybercriminels n’épargnent pas les États. Nos confrères de BalkanInsight ont commencé à évoquer cette piste le 29 août. A juste titre : le 30 août, le groupe Cuba revendiquait une attaque contre le service des relations publiques du parlement du Monténégro, en précisant avoir dérobé des données le 19 août.

Entre temps, Marasj Dukaj a continué les prises de parole visant à conforter l’idée d’une attaque ciblée, conduite avec d’importants moyens, jusqu’à confirmer, ce 31 août, l’affirmation de Cuba. Mais le ministre a également affirmé à la télévision qu’un « virus spécifique avait été créé pour cette attaque », exploitant une vulnérabilité inédite – une zero-day. Et d’évoquer une demande de rançon de 10 millions de dollars. 150 postes de travail dans 10 administrations auraient été compromis.

Début 2021, Miguel De Oliveira, patron d’Aisi, évoquait l’intervention sur une cyberattaque avec le ransomware Cuba : « la rançon demandée était très élevée et, surtout, le groupe n'a accepté aucune négociation ». Selon Elastic, Cuba est utilisé dans des attaques conduites en exploitant des accès initiaux achetés auprès de courtiers, ou encore des failles. Mandiant évoquait, plus tôt cette année, l’exploitation des vulnérabilités Exchange ProxyShell et ProxyLogon.

En décembre 2021, le FBI a émis un bulletin d’alerte concernant Cuba, soulignant un lien avec le maliciel Hancitor – Group IB l’avait précédemment mentionné – et indiquant que les acteurs du groupe avaient à l’époque « compromis au moins 49 entités dans cinq secteurs d’infrastructure critique ».

L’invocation de la piste géopolitique ne tient peut-être pas au hasard. Le gouvernement de Dritan Abazovic, entré en fonction en avril, a été défait par un vote de confiance au parlement le 19 août. Cet épisode, soulignaient alors nos confrères de BalkanInsight, a marqué la fin de l’alliance politique entre le mouvement vers URA et le parti démocrate socialiste de Milo Djukanovic, défait en août 2020 après trois décennies au pouvoir.

Milo Djukanovic a, par le passé, accusé la Russie de chercher à déstabiliser les Balkans. Les autorités judiciaires du Monténégro avaient vu l’œuvre de « nationalistes venus de Russie » derrière la tentative d’assassinat avortée de Milo Djukanovic, à l’automne 2016. Moscou avait ultérieurement rejeté les allégations d’implication.

Milo Djukanovic avait exprimé le souhait de rejoindre l’Otan en 2014, ce qui fut fait en 2017. Le gouvernement de Dritan Abazovic souhaitait notamment accélérer l’adhésion du Monténégro à l’Union Européenne.