Les Duke au service du renseignement russe ?

Dans un nouveau rapport, F-Secure fait le point sur la famille de logiciels malveillants Duke. Et de baptiser leurs développeurs « les Duke ». Pour l’éditeur, ce groupe utilise ses outils pour lancer des attaques informatiques au service du renseignement russe, depuis au moins sept ans.

Cette thèse n’est pas exclusive à F-Secure. En juillet 2014, Kaspersky alertait du retour de MiniDuke en France. L’occasion de souligner qu’il était utiliser pour viser des gouvernements et représentations diplomatiques, mais également les secteurs de l’énergie et des télécoms, ou encore les prestataires d’armées. De son côté, FireEye fait référence au groupe des Duke sous l’acronyme APT29. Il lui consacré un rapport fin juillet dernier.

De son côté, F-Secure rappelle que les Duke ont ainsi visé le ministère de la Défense de Géorgie, ceux des affaires étrangères de Turquie et d’Ouganda, et plusieurs institutions gouvernementales et think tanks aux Etats-Unis, en Europe et en Asie.

Artturi Lehtiö, le chercheur de F-Secure qui a piloté l’enquête de l’éditeur, explique que celle-ci « détaille les liens entre logiciels malveillants et tactiques utilisées pour les attaques et ce que nous déterminons comme des ressources et des intérêts russes. Ces liens fournissent des éléments qui aident à établir d’où sont venues les attaques, ce qu’elles visaient, comme elles ont été conduites, et quels en étaient les objectifs. Et tous les indicateurs pointent dans la direction d’un soutien d’état russe ».

Le rapport de F-Secure est basé sur l’étude de neuf variantes des logiciels malveillants des Duke.

Patrik Maldre, chercheur au centre international de défense et de sécurité en Estonie, estime pour sa part que « les liens identifiés dans le rapport apportent un nouvel éclairage sur la manière dont la Russie a lourdement investi dans les capacités informatiques offensives, et démontre que ces capacités sont devenues un élément important pour la défense de ses intérêts stratégiques ».

Mika Aaltola, directeur de programme au sein de l’institut finlandais des affaires internationales, juge pour sa part que « les pays plus petits comme la Suède et la Finlande sont particulièrement vulnérables à ce type d’espionnage. Les pays nordiques et baltes cherchent toujours un équilibre entre les intérêts occidentaux et russes, et la Russie utilise ses capacités d’attaque cyber pour chercher à altérer l’équilibre en sa faveur ».

Selon le rapport de F-Secure, il est probable que le groupe des Duke cache des développeurs professionnels. Compte tenu des heures auxquelles travaillent les pirates, et le fait que le gouvernement russe n’a pas été visé, les auteurs du rapport indiquent « croire, avec un haut niveau de confiance, que les outils des Duke sont les produits d’une unique organisation, vaste et bien financée, qui fournit au gouvernement russe des renseignements sur les questions de politique étrangère et de sécurité en échange de son soutien et de sa protection ».

Avec nos confrères de Computerweekly (groupe TechTarget)