WASHINGTON – Les services de renseignement de Moscou ont une influence sur les groupes de ransomwares criminels russes et un large aperçu de leurs activités, mais ils ne contrôlent pas les cibles des organisations, selon un rapport publié jeudi.
Certains responsables américains ont déclaré qu’il y avait eu une accalmie, du moins pour l’instant, dans les attaques majeures de ransomware contre des infrastructures critiques américaines très médiatisées qui ont été attribuées à des groupes criminels russes – une pause qui reflète la capacité de Moscou à contrôler en partie les réseaux criminels opérant dans le pays. .
Mais un groupe de ransomware qui s’est évanoui après des attaques au cours de l’été, REvil, semble être revenu cette semaine sur le dark web et a réactivé un portail utilisé par les victimes pour effectuer des paiements.
Alors que les attaques ont diminué, « il y a fort à parier » que les réseaux criminels recherchent des signaux du gouvernement russe sur la façon dont ils peuvent relancer leurs attaques, a déclaré Chris Inglis, le cyberdirecteur national.
« Ce qui, je pense, fera la différence, c’est si Vladimir Poutine et d’autres qui ont la capacité d’appliquer la loi, le droit international, veilleront à ce qu’ils ne reviennent pas », a déclaré jeudi M. Inglis. lors d’un événement organisé par le Reagan Institute. « Mais il est trop tôt pour dire que nous sommes sortis du bois à ce sujet. »
Le rapport, de la société de cybersécurité Recorded Future, corrobore les évaluations de responsables américains qui ont déclaré que la Russie ne dit pas directement aux groupes quoi faire, mais est consciente de leurs activités et exerce une influence. Les agences de renseignement russes recrutent à la fois des talents dans les groupes et peuvent fixer des limites à leurs activités, ont déclaré certains responsables américains.
Les responsables du renseignement russe ont des liens de longue date avec des groupes criminels, selon le rapport. « Dans certains cas, il est presque certain que les services de renseignement entretiennent une relation établie et systématique avec les acteurs de la menace criminelle », a-t-il déclaré.
Ces derniers mois, Recorded Future a également publié entretiens avec des hackers russes impliqués dans des attaques de ransomware contre les États-Unis.
La relation du gouvernement russe avec les pirates informatiques est différente de celle d’autres puissances antagonistes, comme la Chine ou la Corée du Nord.
Des responsables du ministère de la Justice ont accusé le gouvernement chinois de exerçant un contrôle sur certains des gangs de piratage criminels opérant sur son territoire en les ordonnant d’effectuer des missions. En retour, les services de renseignement chinois donnent aux groupes criminels une marge de manœuvre pour attaquer les entreprises américaines.
Le contrôle de la Chine sur ses pirates informatiques est similaire au genre de restrictions strictes qu’elle impose à la société, aux entreprises et à ses efforts de propagande.
Mais le gouvernement russe a une approche différente. Moscou autorise les oligarques et les groupes criminels à suivre leurs propres plans, tant qu’ils ne défient pas le Kremlin et travaillent généralement vers les objectifs du président Vladimir V. Poutine, selon des responsables du gouvernement américain.
En conséquence, le contrôle russe des pirates informatiques est souvent plus lâche, donnant à M. Poutine et à d’autres responsables russes un certain degré de déni. Mais le risque est que les groupes criminels aillent trop loin, provoquant une forte riposte des États-Unis, ont déclaré des responsables américains. La stratégie préférée de M. Poutine est d’autoriser les piratages qui causent des problèmes aux États-Unis, sans toutefois déclencher une crise internationale.
« Les gars du gouvernement n’indiquent pas qui pirater, mais sur une longue période de temps, il existe un tissu conjonctif vraiment intéressant entre le gouvernement et les réseaux criminels », a déclaré Christopher Ahlberg, directeur général de Recorded Future.
Le Service fédéral de sécurité de la Russie, l’agence de renseignement connue sous le nom de FSB, a cultivé des pirates informatiques spécialisés dans les ransomwares, a déclaré Richard W. Downing, procureur général adjoint adjoint, lors d’une audience au Sénat en juillet.
« Comme nous le savons, la Russie ignore depuis longtemps la cybercriminalité à l’intérieur de ses frontières tant que les criminels victimisent les non-russes », a-t-il ajouté. M. Downing a dit.
Le gouvernement russe offre aux pirates une mesure de protection et, en retour, il fait parfois appel à leur expertise – et une partie de l’argent que les groupes de ransomware gagnent revient aux responsables, a déclaré M. Ahlberg.
Des experts de Recorded Future et des représentants du gouvernement américain ont fait valoir que les pressions exercées par l’administration Biden sur la Russie pour contrôler les groupes criminels qui ont attaqué en mai un important fournisseur d’énergie américain, Colonial Pipeline, et d’autres sociétés ont au moins mis M. Poutine sur la défensive.
Mais M. Ahlberg a déclaré que l’attrait des gros retours des attaques de ransomware peut être trop difficile à ignorer à long terme.
DarkSide, le groupe de piratage russe dont la rupture du pipeline colonial a entraîné des pénuries d’essence sur la côte est, s’est dissous peu de temps après, sous la pression des responsables américains et russes. Les experts de Recorded Future pensent que les membres du groupe redeviennent actifs.
« Une fois que vous avez gagné 500 millions et qu’il est assez facile de le faire, vous allez continuer à le faire », a déclaré M. Ahlberg.
Le rapport conclut qu’il est peu probable que la relation de longue date entre les pirates informatiques et les services de renseignement russes s’affaiblisse.
« Le gouvernement russe actuel n’est pas susceptible de sévir contre la cybercriminalité dans un proche avenir au-delà de prendre des mesures limitées pour apaiser les demandes internationales », a révélé le rapport.
Les services secrets russes ont commencé à recruter des programmeurs informatiques qualifiés il y a près de 30 ans. Après avoir été arrêtés pour suspicion de crimes liés au piratage, certains ont affirmé avoir été approchés par des personnes ayant des liens avec les services de renseignement, une pratique qui s’est poursuivie ces dernières années, selon le rapport.
Mais en plus de ce recrutement coercitif, certains hackers cherchent volontairement à soutenir les objectifs stratégiques russes.
Parmi les plus importants se trouve Dmitry Dokuchaev, selon le rapport. Il est un ancien major du F.S.B., successeur du K.G.B. et la principale agence de sécurité et de renseignement en Russie.
Hacker criminel spécialisé dans les cartes de crédit volées, il a été embauché par le FSB au moins en 2010 et a travaillé avec eux jusqu’en 2016, selon les forces de l’ordre américaines.
En 2017, des procureurs américains ont accusé M. Dokuchaev d’avoir dirigé et payé des pirates informatiques. Lui et d’autres ont été accusés de accéder à quelque 500 millions de comptes Yahoo à la fois pour l’espionnage et le gain personnel.
M. Dokuchaev a également été suspecté à Moscou, et il a finalement été arrêté, accusé d’être un agent double des États-Unis. M. Dokuchaev était publié de prison en mai après avoir purgé un peu plus de quatre ans d’une peine de six ans.
À l’exception de quelques poursuites contre des personnes qui ont ciblé des entités russes, Moscou n’a pas fait grand-chose pour perturber les pirates informatiques, selon le rapport Recorded Future.
« La réponse discrète du Kremlin aux activités cybercriminelles provenant de Russie a favorisé un environnement dans lequel les organisations cybercriminelles sont des entreprises bien organisées », a révélé le rapport.
Andrew E. Kramer contribué des reportages de Moscou.