c253a4f9795daef2c36a512e764b2

La Russie «ne va expulser personne» en réponse aux sanctions américaines prises la veille contre Moscou, accusé d’ingérence électorale, a déclaré vendredi Vladimir Poutine, alors que le chef de la diplomatie, Sergueï Lavrov, avait proposé plus tôt d’expulser 35 diplomates américains. La Russie se réserve toutefois «le droit de prendre des mesures de rétorsion», et «restaurera les relations russo-américaines au vu de ce que sera la politique du président américain élu Donald Trump», a précisé le président russe dans un communiqué.

Vladimir Poutine a dénoncé de «nouvelles mesures inamicales» prises par l’administration de Barack Obama, en les qualifiant de «provocatrices» et visant à «miner davantage les relations russo-américaines». «Mais nous n’allons pas tomber au niveau d’une diplomatie irresponsable (…). Nous n’allons pas créer de problèmes aux diplomates américains», a-t-il souligné. «C’est dommage que l’administration du président Barack Obama finisse son travail de cette manière, mais je lui souhaite quand même une Bonne année, tout comme aux membres de sa famille», a encore dit le dirigeant russe. Vladimir Poutine a enfin invité «tous les enfants des diplomates américains» accrédités en Russie à la fête traditionnelle organisée au Kremlin à l’occasion du Nouvel An et du Noël orthodoxe célébré le 7 janvier.

 

Le chef de la diplomatie russe, Sergueï Lavrov, avait annoncé vendredi que «le ministère des Affaires étrangères (…) a proposé au président russe de déclarer persona non grata 31 diplomates de l’ambassade des États-Unis à Moscou et quatre diplomates du Consulat général américain à Saint-Pétersbourg ».

 

Rappelons que le président Obama, Barack Obama avait annoncé jeudi une série de mesures contre les services de renseignement russes, destinées à sanctionner Moscou accusé d’ingérence dans l’élection présidentielle américaine. Washington accuse notamment la Russie d’avoir orchestré les piratages informatiques qui ont mené au vol et à la publication sur le site WikiLeaks de milliers de mails de responsables démocrates, brouillant le message de la candidate démocrate Hillary Clinton.

Les mesures annoncées par le président américain prévoient notamment l’expulsion de 35 agents des services de renseignement russes et la fermeture de deux sites utilisés par ces services à New York et dans l’État du Maryland, près de Washington.

 

Pour justifier les sanctions contre la Russie, Barack Obama s’appuie sur un rapport du FBI qui met Moscou en cause dans les actes de piratage lors de l’élection présidentielle américaine. Un document qui n’apporte pourtant aucune preuve concrète.

Le FBI et le Département de la sécurité nationale (DHS) ont publié un document présenté comme la démonstration technique de l’implication des espions russes dans les actes de piratage contre le Parti démocrate. Les auteurs y affirment, soupçonnés d’être derrière les attaques ont agi sur ordre du RIS, le service russe de renseignement extérieur.

 

 

Rapport du FBI : GRIZZLY STEPPE – Résumé des activités cybernétiques russes

 

Le rapport d’analyse conjointe (JAR) est le résultat d’efforts d’analyse entre le Département de la Sécurité intérieure des États-Unis (Department of Homeland Security (DHS) et le Federal Bureau of Investigation (FBI). Il fournit des détails techniques sur les outils et l’infrastructure utilisés par les services russes de renseignements civils et militaires (RIS) pour compromettre et exploiter les réseaux et les points de terminaison associés aux élections américaines, ainsi qu’une gamme d’entités gouvernementales, politiques et privées.

Le gouvernement des États-Unis fait référence à cette cyberactivité malveillante de RIS sous le nom de GRIZZLY STEPPE. Les JAR précédents n’ont pas attribué d’activité cybernétique malveillante à des pays ou des acteurs portant des menaces spécifiques. Cependant, l’attribution publique de ces activités à RIS est appuyée par des indicateurs techniques de la US Intelligence Community, du DHS, du FBI, du secteur privé et d’autres entités. Cette détermination vient compléter la déclaration conjointe publiée le 7 octobre 2016 par le ministère de la Sécurité intérieure et le directeur du renseignement national sur la sécurité électorale. Cette activité de RIS s’inscrit dans le cadre d’une campagne permanente de cyberactivité dirigée contre le gouvernement américain et ses citoyens. Ces cyber-opérations ont inclus des campagnes de piratage visant des organisations gouvernementales, des entités d’infrastructure essentielles, des groupes de réflexion, des universités, des organisations politiques et des entreprises conduisant au vol d’information.

Dans les pays étrangers, les acteurs RIS ont mené des cyberattaques préjudiciables et / ou perturbatricess, y compris des attaques contre des réseaux d’infrastructures critiques. Dans certains cas, les acteurs de RIS se sont masqués comme des tiers, se cachant derrière de faux personnages en ligne conçus pour amener la victime à distinguer la source de l’attaque. Ce JAR fournit des indicateurs techniques relatifs à bon nombre de ces opérations, des mesures d’atténuation recommandées, des mesures suggérées à prendre en réponse aux indicateurs fournis et des informations sur la façon de signaler ces incidents au gouvernement des États-Unis.

 

 

Description des opérations

 

Le gouvernement des États-Unis confirme que deux intervenants RIS différents ont participé à l’intrusion dans un parti politique des États-Unis. Le premier groupe d’acteurs, connu sous le nom de Advanced Persistent Threat (APT29), est entré dans les systèmes du parti à l’été 2015, tandis que le second, appelé APT28, est entré au printemps 2016.

Les deux groupes ont toujours ciblé des organisations gouvernementales, des groupes de réflexion, des universités et des sociétés à travers le monde. APT29 a été observé l’élaboration de campagnes ciblées spearphishing en tirant parti des liens web vers un compte-gouttes malveillants; Une fois exécuté, le code fournit des outils d’accès à distance (RAT) et évite la détection en utilisant une gamme de techniques. APT28 est connu pour les domaines de levier qui imitent étroitement ceux des organisations ciblées et tromper les victimes potentielles à entrer des informations d’identification légitimes. Les acteurs de l’APT28 se sont fortement appuyés sur les URL raccourcies dans leurs campagnes d’email spearphishing. Une fois que APT28 et APT29 ont accès aux victimes, les deux groupes exfiltrent et analysent l’information pour gagner de l’intelligence. Ces groupes utilisent ces informations pour concevoir des campagnes de piratage hautement ciblées. Ces acteurs mettent en place une infrastructure opérationnelle pour masquer leur infrastructure source, les domaines hôtes et les logiciels malveillants pour cibler les organisations, établir des noeuds de commandement et de contrôle et récolter les informations d’identification et d’autres informations précieuses de leurs cibles. Au cours de l’été 2015, une campagne d’arpentage de l’APT29 a dirigé des courriels contenant un lien malveillant vers plus de 1 000 destinataires, y compris de nombreuses victimes du gouvernement des États-Unis. APT29 a utilisé des domaines légitimes pour inclure des domaines associés à des organismes américains et des établissements d’enseignement, pour héberger des logiciels malveillants et envoyer des courriels spearphishing. Au cours de cette campagne, APT29 a compromis avec succès un parti politique des États-Unis. Au moins une personne ciblée a activé des liens vers des logiciels malveillants hébergés sur une infrastructure opérationnelle d’attachements ouverts contenant des logiciels malveillants. APT29 a livré des logiciels malveillants aux systèmes du parti politique, a établi la persistance, a augmenté les privilèges, a énuméré les comptes d’annuaire actifs et a exfiltré le courrier électronique de plusieurs comptes grâce à des connexions cryptées à travers l’infrastructure opérationnelle. Au printemps 2016, APT28 a compromis le même parti politique, encore une fois par le biais de spearphishing ciblée. Cette fois-ci, le courrier électronique a incité les destinataires à modifier leurs mots de passe via un faux domaine de messagerie web hébergé sur l’infrastructure opérationnelle APT28. Grâce aux informations recueillies, l’APT28 a pu accéder et voler du contenu, ce qui a probablement entraîné l’exfiltration d’informations provenant de plusieurs membres de la haute direction. Le gouvernement des États-Unis évalue que les informations ont été divulguées à la presse et publiées.

 

Les acteurs susceptibles d’être associés à RIS continuent de participer à des campagnes de lancement, dont une lancée en novembre 2016, quelques jours seulement après les élections américaines.

Les administrateurs de réseau sont encouragés à consulter leurs sites Web publics pour les hachages de fichiers malveillants. Les propriétaires de système sont également conseillés d’exécuter la signature Yara sur tout système qui est soupçonné d’avoir été ciblée par les acteurs RIS. Menaces des COI Les acteurs malveillants peuvent recourir à diverses méthodes pour interférer avec les systèmes d’information.