Des milliers de documents divulgus par un lanceur d’alerte non identifi ont rvl un grand pan de l’arsenal de cyberguerre du Kremlin. Runis sous le nom de « Vulkan File », les documents divulgus montreraient comment NTC Vulkan, une socit moscovite de conseil en informatique, soutient les agences militaires et de renseignement russes en leur fournissant des outils de cyberguerre et de dsinformation. Selon les enquteurs, la fuite de donnes est comparable la divulgation, en 2013, d’informations classifies sur la surveillance de masse des tats-Unis par l’ancien contractant de la NSA Edward Snowden, qui, par concidence, est aujourd’hui citoyen russe.
Comme dcrit par les journalistes ayant particip l’enqute, les « Vulkan Files » constituent un ensemble de milliers de pages de documents secrets rvlant comment les ingnieurs de NTC Vulkan ont travaill pour l’arme et les services de renseignement russes afin de soutenir les oprations de piratage, de former des agents avant des attaques contre des infrastructures nationales, de diffuser de la dsinformation et de contrler des sections d’Internet. L’enqute a t mene par des journalistes de Der Spiegel et du groupe d’investigation Paper Trail Media, bas Munich, ainsi que The Guardian, ZDF, Der Standard (Autriche), le groupe suisse Tamedia, etc.
Le Washington Post, Sddeutsche Zeitung et Le Monde ont galement particip l’enqute. Les travaux de NTC Vulkan seraient lis au service fdral de scurit ou FSB, l’agence d’espionnage nationale, aux divisions oprationnelles et de renseignement des forces armes russes, connues sous le nom de GOU et GRU, et au SVR, l’organisation russe de renseignement extrieur. Selon les journalistes, le lanceur d’alerte a expliqu qu’il a choisi de divulguer les documents secrets russes en raison de la colre suscite par l’invasion « sanglante » de l’Ukraine par la Russie et du dsir de voir les informations rvler une partie de ce qui se passe l’intrieur de la Russie.
Le lanceur d’alerte aurait dclar au consortium de journalistes : les gens devraient tre conscients des dangers que cela reprsente. En raison des vnements en Ukraine, j’ai dcid de rendre ces informations publiques. L’entreprise fait de mauvaises choses et le gouvernement russe est lche et a tort. Je suis en colre contre l’invasion de l’Ukraine et les terribles vnements qui s’y droulent. J’espre que vous pourrez utiliser ces informations pour montrer ce qui se passe derrire les portes closes . Des journalistes travaillant pour au moins 11 mdias auraient particip l’analyse des documents, ainsi que des socits de cyberscurit.
Il est important de noter que la socit informatique russe NTC Vulkan n’a rien voir avec la plateforme graphique 3D Vulkan, qui est un projet open source supervis par le groupe but non lucratif Khronos. Selon les enquteurs, les documents permettent de faire la lumire sur de nombreuses cyberattaques dans le monde et dont les Russes avaient t souponns d’en tre les auteurs. Ils montreraient en dtail comment ces attaques sont prpares et organises, et comment Vladimir Poutine, avec l’aide d’entreprises prives, planifie et met en uvre de manire agressive des oprations de piratage dans le monde entier. En voici deux exemples :
- un document tablirait un lien entre un outil de cyberattaque Vulkan et le clbre groupe de pirates Sandworm, qui, selon le gouvernement amricain, a provoqu deux reprises des pannes d’lectricit en Ukraine, perturb les Jeux Olympiques en Core du Sud et lanc NotPetya, le logiciel malveillant le plus destructeur de l’histoire sur le plan conomique. Sous le nom de code Scan-V, ce logiciel explorerait Internet la recherche de vulnrabilits, qui sont ensuite stockes pour tre utilises dans de futures cyberattaques ;
- un autre systme, connu sous le nom d’Amezit, constituerait un plan de surveillance et de contrle d’Internet dans les rgions places sous le commandement de la Russie, et permet galement la dsinformation par l’intermdiaire de faux profils de mdias sociaux ;
- un troisime systme construit par Vulkan – appel Crystal-2V – serait un programme de formation pour les cyberoprateurs aux mthodes requises pour faire tomber les infrastructures ferroviaires, ariennes et maritimes. Un fichier expliquant le logiciel indiquerait : le niveau de confidentialit des informations traites et stockes dans le produit est « Top Secret » .
Le consortium de journaliste affirme que les documents divulgus comprennent galement des cartes de l’infrastructure nergtique amricaine. ce propos, en mars 2022, le FBI a dclar que des pirates informatiques russes ont scann les systmes des socits d’nergie et d’autres infrastructures critiques aux tats-Unis. Selon l’agence fdrale, cela constitue une menace « actuelle » pour la scurit nationale des tats-Unis. En 2020, le ministre amricain de la Justice a inculp six officiers du GRU russe pour avoir prtendument men des attaques contre les Jeux olympiques de Soul, l’Ukraine, les lections franaises de 2017 et d’autres incidents.
Les fichiers divulgus lieraient galement NTC Vulkan un groupe de pirates russes appel APT29 ou CozyBear, sur la base d’informations fournies par des chercheurs en scurit de Google. Mandiant, une socit amricaine de cyberscurit appartenant Google, a particip l’interprtation des documents divulgus par le lanceur d’alerte et considre qu’ils sont probablement, mais pas sans quivoque, lgitimes. Les documents dtaillent les exigences des projets contracts avec le ministre russe de la Dfense, y compris dans au moins un cas pour l’unit 74455 du GRU, galement connue sous le nom d’quipe Sandworm , note Mandiant.
Ces projets comprennent des outils, des programmes de formation et une plateforme d’quipe rouge pour la pratique de divers types de cyberoprations offensives, y compris l’espionnage, les OI [oprations d’information] et les attaques de technologie oprationnelle (OT) , ajoute-t-il. Gabby Roncone, chercheur en cyberscurit chez Mandiant, explique que les projets associs NTC Vulkan couvrent le cyberespionnage, les oprations d’information et le ciblage des technologies oprationnelles (infrastructures critiques). Les fichiers datent de 2016 2021 et les enquteurs affirment que de telles fuites en provenance de Moscou sont extrmement rares.
L’intrt de ces projets sous-traits par NTC Vulkan est qu’ils semblent tous soutenir les objectifs stratgiques plus larges de la confrontation des informations. mon avis, la stratgie de confrontation des informations a largement influenc les cyberoprations de la Russie en Ukraine , affirme Roncone. Selon les analystes, la Russie est engage dans un conflit permanent avec ce qu’elle considre comme son ennemi, l’Occident, notamment les tats-Unis, le Royaume-Uni, l’UE, l’Australie, et la Nouvelle-Zlande, qui ont tous dvelopp leurs propres capacits cyberoffensives classifies dans le cadre d’une course l’armement numrique.
The thing about these projects contracted by NTC Vulkan is that they all seem to support the broader strategic goals of information confrontation. The strategy of information confrontation has largely influenced RU cyber operations in Ukraine in my opinion. pic.twitter.com/AvpWZSz7Ul
— Gabby Roncone 🌻 @gabr@infosec.exhange (@gabby_roncone) March 30, 2023
La Russie est dans nos rseaux , prvient Wolfgang Wien, chef adjoint du Bundesnachrichtendienst (BND), l’agence allemande de renseignement extrieur. Certains documents de la fuite contiendraient ce qui semble tre des exemples illustratifs de cibles potentielles. L’un d’eux contiendrait une carte montrant des points travers les tats-Unis. Un autre contiendrait les coordonnes d’une centrale nuclaire en Suisse.
Sources : Paper Trail Media, APT29, Mandiant
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’enqute des journalistes ? Avez-vous des rserves ?
Que pensez-vous des outils et logiciels dcrits dans les documents ayant fait l’objet de fuite ?
Que pensez-vous des prtendus plans de la Russie visant contrler Internet et mener une cyberguerre contre l’Occident ?
Selon vous, ces agissements contribuent-ils protger les populations ? Quels sont les risques des cyberguerres pour les citoyens ?
Quels sont les potentiels impacts des cyberguerres sur l’Internet lui-mme ?
Voir aussi