Les pirates informatiques fantaisie de la Russie atteignent à nouveau les cibles de la campagne américaine

L’armée russe Les pirates informatiques connus sous le nom de Fancy Bear ou APT28 ont fait des ravages lors de l’élection de 2016, par effraction dans la campagne du Comité national démocrate et d’Hillary Clinton pour divulguer publiquement leurs secrets. Depuis, la communauté de la cybersécurité attend le jour où elle reviendrait pour semer plus de chaos. Juste à temps pour les élections de 2020, ce jour est venu. Selon Microsoft, Fancy Bear intensifie ses attaques ciblées sur les élections depuis un an.

Jeudi, Microsoft a publié un article de blog révélant qu’il avait vu les pirates russes Fancy Bear, que Microsoft appelle Strontium, cibler plus de 200 organisations depuis septembre 2019. Les cibles incluent de nombreuses organisations adjacentes aux élections, selon des chercheurs du Threat Intelligence Center de Microsoft, y compris des campagnes politiques, des groupes de défense, des groupes de réflexion, des partis politiques et des consultants politiques au service des républicains et des démocrates. Microsoft a désigné le German Marshall Fund des États-Unis et le Parti populaire européen comme deux des cibles des pirates. Par ailleurs, la société a refusé de nommer publiquement les victimes ou de dire combien de tentatives d’intrusions avaient réussi, tout en affirmant que ses mesures de sécurité avaient empêché la majorité des attaques.

« L’activité que nous annonçons aujourd’hui montre clairement que les groupes d’activités étrangers ont intensifié leurs efforts visant l’élection de 2020 comme prévu », lit-on dans le blog de Microsoft. « Microsoft surveille ces attaques et informe les clients ciblés depuis plusieurs mois, mais n’a atteint que récemment un point de notre enquête où nous pouvons attribuer l’activité au Strontium avec une grande confiance. »

Reuters a rapporté plus tôt dans la journée que SKDKnickerbocker, une société de stratégie de campagne et de communication travaillant avec le candidat à la présidentielle Joseph Biden et d’autres démocrates de premier plan, avait reçu un avertissement de Microsoft selon lequel il avait été ciblé sans succès par des pirates informatiques russes, sans nommer Fancy Bear. WIRED a rapporté en juillet que Fancy Bear avait ciblé les agences gouvernementales américaines, les établissements d’enseignement et le secteur de l’énergie, mais sans aucune intention claire d’affecter les élections de 2020.

Le billet de blog de Microsoft détaille également les campagnes de piratage politiques menées par un groupe chinois connu sous le nom de Zirconium ou APT31, ainsi que par un groupe iranien connu sous le nom de Phosphore ou APT35. Les attaques de la campagne chinoise ont inclus 150 violations réussies d’organisations au cours des six derniers mois, selon les chercheurs de Microsoft. Ils notent que les pirates ont tenté de cibler la campagne Biden – apparemment sans succès – ainsi que « un individu anciennement associé à l’administration Trump ». L’APT31 a également touché des cibles d’espionnage plus banales, notamment des universitaires de 15 universités et des comptes du personnel de 18 groupes de réflexion, dont le Conseil de l’Atlantique et le Centre Stimson.

La campagne iranienne, selon Microsoft, a tenté d’accéder à plusieurs comptes de personnes impliquées dans l’élection présidentielle de 2020, ainsi qu’à plusieurs membres de l’administration et du personnel de campagne de Trump en mai et juin de cette année. Ces intrusions ciblées par Trump ont échoué, ajoute Microsoft.

Mais ce sont les dernières attaques de la Russie qui sont les plus troublantes, selon la société de renseignement sur les menaces FireEye. En effet, contrairement à l’Iran ou à la Chine, l’agence de renseignement militaire russe connue sous le nom de GRU – et en particulier l’équipe GRU connue sous le nom de Fancy Bear, que l’on pense être l’unité GRU 26165 – a une histoire d’aller au-delà de l’espionnage traditionnel pour mener des hack politiques et – des opérations de fuite comme celles qu’elle a réalisées avant l’élection présidentielle américaine de 2016 et l’élection présidentielle française de 2017.

«Nous restons les plus préoccupés par les renseignements militaires russes, qui, selon nous, représentent la plus grande menace pour le processus démocratique», lit-on dans une note envoyée par FireEye à ses clients pour mettre en garde contre les campagnes de piratage à visée politique, faisant référence au groupe du nom APT28. « Le ciblage des organisations politiques est une caractéristique commune du cyberespionnage. Les partis et les campagnes sont de bonnes sources de renseignements sur la politique future, et il est probable que les acteurs iraniens et chinois aient ciblé des campagnes américaines pour collecter discrètement des renseignements, mais l’histoire unique d’APT28 soulève la perspective d’un suivi. – sur les opérations d’information ou toute autre activité dévastatrice. «