Malware

Des conversations montrent qu’un espion russe a essayé d’obtenir des outils de piratage

Depuis la proclamation des résultats du scrutin présidentiel de 2016 aux USA et l’annonce officielle de la victoire de Donald J. Trump, le camp démocrate n’a eu de cesse de crier à la manipulation de masse. Selon les démocrates, le piratage et la divulgation des mails de Hillary Clinton par des pirates identifiés plus tard comme étant russes serait même la cause de la défaite de leur candidate. Après investigation, il a été établi que les attaques avaient bien été menées depuis la Russie et douze officiers du pays ont été mis en cause. La CIA aurait même, il y a quelques mois, intercepté des « instructions spécifiques » du président russe ordonnant d’interférer avec les élections US de 2016. Les enquêtes poursuivant leur cours, de nouveaux éléments continuent d’apparaître. Des conversations entre une chercheuse en cybersécurité russophone et un avatar connu d’un des douze officiers mis en cause ont récemment été divulguées révélant une recherche d’outils de piratage qui a commencé depuis 2011.

En effet, une certaine Kate S. Milton aurait pris contact en 2011 avec une chercheuse en cybersécurité russophone en se faisant passer pour une scientifique de Kaspersky. Elle a avoué avoir été impressionnée par le travail de la chercheuse et a émis le souhait d’être informée de toute nouvelle trouvaille de la chercheuse dans ce domaine. Elle a ensuite proposé son aide à la chercheuse pour l’analyse de malwares et pour le partage de nouveaux échantillons afin que leur interaction ne soit pas à sens unique.

La chercheuse, une ingénieure en sécurité qui a transmis ses conversations avec Milton à The Associated Press sous condition que son anonymat soit conservé, s’est toujours doutée du fait que Kate Milton n’était pas qui elle disait être. Et elle en a eu la confirmation au travers d’un acte d’accusation du FBI rendu public le 13 juillet dernier qui a levé le voile sur l’opération de piratage russe qui a pris pour cible les élections présidentielles US de 2016. Cet acte a identifié Kate S. Milton comme un avatar de l’officier du renseignement militaire russe Ivan Yermakov, un des douze espions russes mis en cause dans le piratage du QG démocrate. La chercheuse a dit ne pas avoir apprécié d’apprendre qu’elle discutait avec un espion russe présumé et a ajouté qu’elle n’en était néanmoins pas surprise étant donné son secteur de recherches.

Les conversations entre la chercheuse et l’officier ont été fréquentes en avril 2011 et mars 2012. « Il n’y avait rien de particulièrement inhabituel dans son approche. J’ai eu des interactions similaires avec des chercheurs amateurs et professionnels d’autres pays », a déclaré la chercheuse. Ainsi, après quelques mois, les interactions entre les deux se sont raréfiées jusqu’à ce que l’année suivante, Kate Milton revienne au contact pour un nouveau besoin, en prétextant d’une grosse charge de travail pour justifier la période de non-interaction.

Elle a ajouté que c’était pour un nouveau projet et qu’elle était prête à payer pour des informations ou pour des contacts de personnes ayant de nouvelles trouvailles. Elle voulait particulièrement des informations sur CVE-2012-0002, une vulnérabilité de Microsoft qui pouvait permettre à des pirates de compromettre à distance certains ordinateurs Windows. Ayant appris que quelqu’un avait déjà réussi à monter un exploit fonctionnel sur la base de cette faille, Milton a émis le souhait d’acquérir des informations sur la question. La chercheuse a simplement décliné son offre et depuis ce jour, n’a plus jamais eu de nouvelles de Kate Milton.

Le compte Twitter de l’alias est en sommeil depuis longtemps. Les quelques derniers tweets postés font état de besoins urgents d’exploits ou d’informations sur des failles. Il n’apparaît pas encore clairement que l’officier Yermakov travaillait déjà pour le gouvernement russe au moment où il a endossé le personnage de Kate Milton. Toutefois, l’inactivité de son compte Twitter depuis 2011 et la mention d’un nouveau projet en 2012 pourraient indiquer qu’il avait trouvé un nouveau travail. Ce qui est sûr, c’est que Kaspersky déclare ne jamais avoir employé Ivan Yermakov et ne pas savoir pourquoi ce dernier s’est présenté comme un employé de la firme. Cosimo Mortola, un analyste de l’entreprise de cybersécurité FireEye, déclare que ces conversations pourraient être interprétées autrement. Pour lui, le gouvernement russe aurait pu être en train de cultiver une pépinière de personnes dans la communauté de la sécurité de données obtenant les derniers exploits aussi tôt que possible.

 

L’analyste de défense et de politique étrangère Pavel Felgenhauer, quant à lui, trouve plus plausible la théorie selon laquelle l’officier Yermakov aurait commencé à travailler en tant que pirate indépendant à la recherche d’outils espions avant de se faire enrôler par le renseignement militaire russe. The Associated Press et d’autres médias ont tenté de retracer les vies numériques des personnes accusées dans l’interférence russe et ont trouvé des références à certains d’entre eux dans des articles universitaires sur l’informatique et les mathématiques, sur des listes de présence des conférences de cybersécurité russes ou encore dans des codes malveillants (cas du capitaine Nikolay Kozachek). Des comptes de réseaux sociaux affiliés au lieutenant Aleksey Lukashev, un collègue des deux officiers sus-cités, ont également été découverts. Cet officier est supposément le responsable de l’hameçonnage du compte email du directeur de campagne de Hillary Clinton, John Podesta.

Selon l’acte d’accusation et des données fournies par la fonction « Find My Friend » de Twitter et Secureworks, le lieutenant opérait depuis un compte Twitter sous l’alias Den Katenberg. Le moteur de recherche à reconnaissance faciale russe FindFace a permis à The Associated Press de découvrir un compte VK apparemment actif qui a un nom différent, mais qui présente des photos du même jeune homme d’apparence slave. La grande majorité des posts et des amis de ce compte semblent provenir d’un district à l’extérieur de Moscou, celui de Voskresensky. La correspondance entre l’homme sur les photos et le lieutenant Lukashev n’a pas pu être indiscutablement démontrée. Car tous les amis du compte interrogés sur la question ont soit refusé de commenter, soit déclaré ne pas connaître le nom Lukashev. Chose étrange, peu de temps après, le propriétaire du profil a bloqué son compte rendant ses photos de vacances invisibles aux étrangers.

Source : Security Week

Comment here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

fr_FRFrench
en_USEnglish fr_FRFrench