Les autorités américaines ont désactivé les logiciels malveillants prétendument utilisés par l’agence d’espionnage russe pour voler des documents sensibles pendant deux décennies dans des dizaines de pays, y compris les gouvernements membres de l’OTAN.
Le ministère américain de la Justice a déclaré mardi que le logiciel malveillant avait été déployé pendant près de 20 ans par une unité du Service fédéral de sécurité russe pour détourner le matériel de centaines de systèmes informatiques dans au moins 50 pays liés aux journalistes et aux États membres de l’OTAN.
“La Russie a utilisé des logiciels malveillants sophistiqués pour voler des informations sensibles à nos alliés, les blanchissant via un réseau d’ordinateurs infectés aux États-Unis dans une tentative cynique de dissimuler leurs crimes”, a déclaré Breon Peace, avocat américain du district oriental de New York, dans une déclaration.
Le malware, appelé “Snake”, reste “l’implant de malware de cyberespionnage à long terme le plus sophistiqué” déployé par l’unité du FSB en question, connue sous le nom de Turla, a déclaré le DoJ.
“Turla est un acteur russe du cyberespionnage et l’un des plus anciens groupes d’intrusion que nous suivons, existant sous une forme ou une autre dès les années 1990, et axé sur les cibles classiques de l’espionnage – le gouvernement, l’armée et le secteur de la défense”, a déclaré John Hultquist, responsable de Mandiant Intelligence Analysis, qui appartient à Google.
Alors que certains des travaux de Turla avaient déjà été exposés dans une poignée d’incidents remontant au début des années 2000, “ces événements sont compensés par une ampleur d’activité qui passe inaperçue”, a-t-il déclaré. “Turla se concentre fortement sur la sécurité opérationnelle et la furtivité, et à cette fin, ils ont constamment innové.”
La collection d’ordinateurs infectés dans le monde entier a créé un “réseau peer-to-peer secret” qui a entravé la surveillance des services de renseignement adverses, selon un affidavit déposé par un agent du FBI. Le réseau a également renforcé la capacité des ordinateurs à déplacer subrepticement de grandes quantités de données et à communiquer entre eux. “Snake” a compromis les appareils “indéfiniment”, parfois pendant des années malgré les efforts pour lutter contre les logiciels malveillants, a ajouté l’agent.
Au cours de son enquête sur “Snake”, le FBI a découvert que Turla avait utilisé le logiciel malveillant pour voler ce qui était “considéré comme” des documents internes de l’ONU et de l’OTAN à partir d’un ordinateur lié au ministère des affaires étrangères d’un État membre de l’OTAN, selon l’affidavit. .
L’unité du FSB aurait également utilisé le logiciel sur un ordinateur personnel d’un journaliste qui avait fait des reportages sur le gouvernement russe pour une société de presse américaine.
Le FBI a détaillé une opération complexe pour d’abord tester un moyen technique de perturber l’emprise que “Snake” avait sur quelques ordinateurs aux États-Unis, puis l’étendre aux milliers d’ordinateurs potentiellement infectés par le logiciel malveillant dans le monde.
Surnommé Operation Medusa, illustrant l’utilisation récurrente d’un motif Uroboros – une image d’un serpent mangeant sa propre queue – par les codeurs du FSB, le FBI semble avoir trompé le logiciel malveillant en confondant les instructions du FBI avec les instructions de ses opérateurs. ou d’hôtes infectés de la même manière, selon l’affidavit.
Les commandes, envoyées via un programme sur mesure du FBI appelé Persée – qui, dans la mythologie grecque, a tué Méduse – ont essentiellement provoqué l’autodestruction du logiciel malveillant et sont facilement reproductibles à grande échelle.
Merrick Garland, procureur général des États-Unis, a déclaré : « Nous continuerons à renforcer nos défenses collectives contre les efforts déstabilisateurs du régime russe pour saper la sécurité des États-Unis et de nos alliés ».
La perturbation survient à la suite de plusieurs actions coordonnées des autorités américaines sur les réseaux d’espionnage et criminels liés à la Russie, y compris l’utilisation de mathématiques complexes pour retrouver les propriétaires de portefeuilles Bitcoin recevant des paiements de ransomware. En janvier, les autorités ont infiltré un groupe de rançongiciels et fourni ses clés de déchiffrement aux victimes.
L’ambassade de Russie aux États-Unis n’a pas immédiatement répondu à une demande de commentaire.