Les États-Unis accusent 4 employés du gouvernement russe de piratage d’infrastructures critiques

Russia

Les États-Unis ont inculpé quatre employés du gouvernement russe pour leur implication dans des campagnes de piratage ciblant des centaines d’entreprises et d’organisations du secteur mondial de l’énergie entre 2012 et 2018.

« Au total, ces campagnes de piratage ont ciblé des milliers d’ordinateurs, des centaines d’entreprises et d’organisations, dans environ 135 pays », a déclaré le ministère de la Justice.

Le ministère de la Justice a dévoilé jeudi deux actes d’accusation, l’un de juin 2021 et un de Août 2021accusant un employé de l’Institut central de recherche scientifique de chimie et de mécanique de la Fédération de Russie (TsNIIKhM) et trois agents du Service fédéral de sécurité (FSB) de Russie.

Evgeny Viktorovich Gladkikh, programmeur informatique chez TsNIIKhM, et des co-conspirateurs étaient à l’origine d’attaques qui ont provoqué deux arrêts d’urgence dans une raffinerie basée au Moyen-Orient entre mai et septembre 2017.

Ils l’ont fait en piratant les systèmes de la raffinerie et en installant des logiciels malveillants connus sous le nom de Triton ou Trisis sur les automates Schneider Electric Triconex Tricon utilisés par les systèmes de sécurité.

Le logiciel malveillant infecte les automates Triconex Tricon en modifiant le micrologiciel en mémoire, ce qui a permis aux attaquants d’ajouter une programmation supplémentaire et de contrôler à distance les systèmes compromis.

Par la suite, le groupe a également tenté de pirater les systèmes d’une raffinerie américaine entre février et juillet 2018.

Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov et Marat Valeryevich Tyukov, ceux qui ont été inculpés en août 2021, étaient des officiers de l’unité militaire 71330 ou « Centre 16 » du FSB.

Ils faisaient également partie d’un groupe de piratage suivi sous plusieurs noms, notamment Dragonfly, Berzerk Bear, Energetic Bear et Crouching Yeti.

Affiches recherchées
Avis de recherche (FBI)

Les campagnes de piratage « Dragonfly » du FSB

Entre 2012 et 2017, les trois pirates du FSB et leur équipe ont été à l’origine de multiples violations et attaques de la chaîne d’approvisionnement ciblant les systèmes ICS ou de contrôle de surveillance et d’acquisition de données (SCADA) utilisés dans le secteur international de l’énergie, y compris les sociétés pétrolières et gazières, les centrales nucléaires, ainsi que ainsi que des entreprises de services publics et de transport d’électricité.

Lors de la première campagne, qui s’est déroulée entre 2012 et 2014 et est connue sous le nom de Dragonfly ou Havex, ils ont infiltré les réseaux de plusieurs fabricants de systèmes ICS/SCADA et fournisseurs de logiciels et ont infecté des mises à jour logicielles légitimes avec le cheval de Troie d’accès à distance Havex (RAT).

Associée aux attaques de harponnage et de « point d’eau », cette attaque de la chaîne d’approvisionnement leur a permis d’infecter plus de 17 000 appareils uniques aux États-Unis et dans le monde avec des logiciels malveillants.

Entre 2014 et 2017, dans le cadre de la campagne Dragonfly 2.0, ils sont passés aux attaques de harponnage et ont ciblé plus de 3 300 utilisateurs dans plus de 500 entreprises et entités américaines et internationales, y compris des agences gouvernementales américaines telles que la Nuclear Regulatory Commission.

« Les pirates informatiques parrainés par l’État russe constituent une menace sérieuse et persistante pour les infrastructures critiques aux États-Unis et dans le monde », a-t-il ajouté. mentionné Procureur général adjoint Lisa O. Monaco.

« Bien que les accusations criminelles dévoilées aujourd’hui reflètent des activités passées, elles montrent clairement le besoin urgent et continu des entreprises américaines de renforcer leurs défenses et de rester vigilantes. »

La CISA, le FBI et le Département américain de l’énergie ont également publié un conseil conjoint en cybersécurité détaillant les campagnes de piratage des Russes parrainées par l’État ciblant le secteur américain et international de l’énergie, y compris les raffineries de pétrole, les installations nucléaires et les sociétés énergétiques.

Le Département d’État américain est offrant une récompense pouvant atteindre 10 millions de dollars pour toute information menant à l’identification ou à la localisation de pirates informatiques russes parrainés par l’État ciblant les infrastructures critiques américaines.