Booz Allen Hamilton est la plus célèbre entreprise privée du renseignement américain. C’est elle qui est à l’origine de ce rapport complet détaillant 15 années (de 2004 à 2019) de cyber-opérations menées par des pirates militaires russes. On y voit plus clair sur les logiciels malveillants utilisés, et on comprend mieux qui a appuyé sur quel bouton et à quel moment.

Le GRU travaille avec APT28 et Sandworm

Le GRU (Glávnoye Razvedyvatel’noje Upravléniye), aussi connu sous le nom de Direction principale du renseignement ou Direction principale de l’état-major général des forces armées, est l’agence de renseignement interne du gouvernement russe. Contrairement au FSB, successeur du tristement célèbre KGB, le GRU ne soutient que les opérations militaires de la Russie et la politique étrangère du Kremlin.

Dans son rapport, Booz Allen Hamilton affirme que le GRU est lié à deux groupes de pirates informatiques bien connu dans le monde de la cybercriminalité : APT28 (alias Fancy Bear) et Sandworm. Chacun de ces groupes de pirates est chargé de mener des cyber-opérations à différents degrés. Le groupe Sandworm est par exemple considéré comme la division d’élite du GRU.

Ces cyber-opérations peuvent-elles être prédites ?

Au cours des quinze dernières années, Booz Allen Hamilton a analysé plus de 200 cyber-opérations attribuées directement au GRU. Chacune de ces attaques correspond au mécanisme de défense naturel de la Russie pour répondre à l’évolution de l’environnement politique et numérique qui l’entoure. La conclusion finale de ce rapport est assez surprenante. Booz Allen Hamilton estime que les cyberattaques offensives du GRU peuvent être prédites. Les analystes du cabinet d’études affirment que :

« Se défendre contre les cyber-opérations du GRU, exige de comprendre non seulement comment ces opérations se produisent mais, plus important encore, pourquoi elles se produisent. C’est là toute la différence. En comprenant pourquoi un adversaire cherche à vous attaquer, vous pourrez mieux anticiper quand, où et sous quelle forme ces actions peuvent se produire et prendre des mesures délibérées pour atténuer leurs risques en se basant sur cette compréhension ».

La Russie n’en est pas à son coup d’essai

Prenons un exemple parlant : la Russie a utilisé ses hackers du GRU pour discréditer les organisations sportives internationales dans le monde entier, après que les athlètes russes aient été interdits de participer à plusieurs événements sportifs. En octobre 2019, des chercheurs en cybersécurité de Microsoft découvraient que des pirates informatiques russes avaient ciblé au moins 16 organisations sportives ainsi que l’Agence mondiale antidopage.

À l’époque, Tom Burt, responsable de la cybersécurité chez Microsoft, déclarait que : « certaines de ces attaques ont été couronnées de succès, mais heureusement ce n’est pas le cas de la majorité d’entre elles ». L’APT28 s’en prend depuis longtemps aux agences antidopage, en particulier à quelques mois du début des Jeux Olympiques. Le groupe a déjà pénétré l’infrastructure de l’AMA en 2016. À l’époque, les hackers avaient divulgué les données médicales confidentielles de plusieurs athlètes.

On se souvient aussi de l’affaire du piratage de Burisma, le consortium de gaz ukrainien impliqué dans la procédure d’impeachment contre Donald Trump. Au début de l’année 2020, le GRU avait créé de faux sites, très proches de celui de Burisma et surtout de ses filiales. Ensuite, ils ont envoyé des e-mails aux employés pour qu’ils s’identifient sur les faux sites. Burisma et ses filiales partageant un même serveur mails, les pirates ont potentiellement pu avoir accès au réseau du consortium.