Soupçons renforcés de liens entre Fancy Bear et le Kremlin

Les analystes de Crowdstrike ont découvert un logiciel malveillant pour Android présent sur des terminaux mobiles de l’armée ukrainienne. Ce logiciel malveillant utilise une variante de X-Agent, un kit d’accès distant utilisé précédemment dans l’attaque contre le conseil national du parti démocrate américain, le DNC. Ce dernier avait été la cible de deux groupes connus : APT 28 et 29, aussi appelés Fancy Bear et Cozy Bear, respectivement, ou encore Pawn Storm et « les Dukes ».

Dans un billet de blog, Crowdstrike indique « associer l’utilisation de X-Agent » avec le premier : « jusqu’ici, [Fancy Bear] a été l’opérateur exclusif de ce logiciel malveillant et a continuellement développé cette plateforme pour des opérations en cours ». Que les analystes de Crowdstrike « estiment probablement lié au renseignement militaire russe ». Pour Timo Laaksonen, président de F-Secure, il y a la preuve que le Kremlin est à l’origine des attaques ayant visé le DNC.

Le groupe Fancy Bear est soupçonné d’être à l’origine de la compromission des comptes de messagerie électronique de la direction de campagne d’Hilary Clinton et de Colin Powell. Il est également accusé de viser les utilisateurs de Mac dans l’industrie aéronautique. De nombreuses sources ont également fait état de binaires attribuables au groupe APT 28 sur les machines compromises de TV5 Monde début 2015. Fin 2014, FireEye indiquait ouvertement penser que ce que groupe, actif au moins depuis 2007, disposait d’un soutien gouvernemental de Moscou. Un an plus tard, Trend Micro avançait des éléments tendant à renforcer la suspicion de liens entre Pawn Storm et le Kremlin.

La variante de X-Agent évoquée par Crowdstrike a été découverte dans une application utilisée par 9000 militaires ukrainiens pour opérer certaines pièces d’artillerie. Selon Adam Meyers, vice-président de Crowdstrike en charge du renseignement, explique que ce déploiement « pourrait avoir facilité la reconnaissance contre les troupes d’Ukraine » : le logiciel malveillant permet de collecter des données de géolocalisation des terminaux ainsi que des communications ». Et de souligner, en deux ans de conflit, l’armée ukrainienne aurait perdu, « selon des sources ouvertes », plus de 80 % des pièces d’artillerie concernées.  

De son côté, la Lituanie vient d’assurer avoir été 20 fois la cible d’opérations de cyber-espionnage conduites par la Russie cette année, et avoir identifié trois cas d’installation de logiciels espions russes sur des ordinateurs gouvernementaux depuis 2015. Mais nos confrères de Reuters, qui se font l’écho de ces propos, ne font référence à aucun groupe connu.

Avec nos confrères de SearchSecurity.com.