Le parti démocrate américain victime de deux groupes de pirates

Le conseil national démocrate (DNC), organe de gouvernance du parti démocrate américain, a été victime de deux attaques ciblées conduites par deux groupes connus : APT28 – aussi appelé Sofacy ou encore Pawn Storm – et APT 29 – baptisé « les Duke » par F-Secure. Crowdstrike, qui a conduit l’enquête et identifié leurs traces, y fait référence sous les noms de Fancy Bear et Cozy Bear respectivement.

Le spécialiste de la sécurité explique les traces d’infiltration par le second groupe remontent à l’été dernier, tandis que celles du premier datent d’avril 2016.  En l’état, aucun signe de collaboration entre les deux groupes n’a été établi. Pour autant, les deux « bears » (ours, en anglais) ont un point commun : ils semblent liés aux services de renseignement russes.

En septembre dernier, F-Secure affirmait ainsi que les dukes utilisent leurs outils pour lancer des attaques pour le compte de ces services depuis au moins sept ans. Crowdstrike relève qu’ils sont soupçonnés d’avoir infiltré avec succès des réseaux non classifiés de la Maison Blanche, ou encore du ministère des Affaires étrangères américain.

Sofacy est également suspecté d’œuvrer pour le Kremlin. Crowdstrike relève qu’il est actif depuis le milieu des années 2000 et qu’il compte des victimes « aux Etats-Unis, en Europe de l’Ouest, au Brésil, au Canada, en Chine, en Géorgie, en Iran, au Japon, en Corée du Sud et en Malaysie ». Il est suspecté d’avoir visé TV5 Monde ainsi que le bureau de sureté danois chargé de l’enquête sur la destruction du vol MH17 en Ukraine, en juillet 2014.

Mais Crowdstrike souligne au passage que les deux services du renseignement russe – FSB et SVR – n’hésitent pas à se faire concurrence, estimant qu’il ne serait pas surprenant que les deux aient visé parallèlement le DNC.

Le groupe Cozy Bear se serait appuyé sur un logiciel malveillant développé en Python, ainsi que sur des scripts PowerShell, pour compromettre sa cible et s’y assurer une persistance discrète grâce à WMI. Les possibilités de mise à profit de PowerShell à des fins malveillantes ont régulièrement été soulignées.

Au final, les pirates sont parvenus à dérober le dossier réalisé par le DNC sur le candidat républicain à la présidence américain, Donald Trump, ainsi que l’intégralité des courriels et des messages instantanés stockés sur son infrastructure.