Les autorités américaines ont révélé le 6 avril avoir traqué et supprimé le botnet de certains ordinateurs infectés, parfois à l’insu des victimes. Nommé Cyclops Blink, il a émergé en juin 2019 et est attribué au groupe Sandworm derrière lequel se cache le GRU, les renseignements militaires russes. De nombreux appareils seraient toujours infectés.

Cyclops Blink, l’héritier de VPNFilter

Depuis le début de l’invasion de l’Ukraine par la Russie, le 24 février, les États-Unis ne cessent de mettre en garde leurs entreprises critiques contre les risques cyber. En révélant l’existence d’une opération contre le botnet Cyclops Blink, le pays rend cette menace très concrète, comme il l’avait fait quelques semaines auparavant avec une cyberattaque plus ancienne. L’objectif est aussi de prévenir la Russie que les États-Unis ne se laisseront pas faire.

Le procureur adjoint Matthew Olsen assume cette part de communication dans la démarche de transparence des autorités, « autorisée par le tribunal, cette suppression des logiciels malveillants déployés par le GRU russe démontre l’engagement du département à perturber le piratage des États-nations en utilisant tous les outils juridiques à notre disposition ».

Cyclops Blink s’en est pris aux appareils de l’entreprise WatchGuard et de la marque Asus. Il a été repéré en février 2022 par le National Cyber Security Centre (NCSC), la Cybersecurity and Infrastructure Security Agency (CISA), les équivalents de l’ANSSI au Royaume-Uni et aux États-Unis, ainsi que par la NSA et le FBI.

Le logiciel malveillant est décrit comme un héritier de VPNFilter. Il était présent dans quelque 500 000 routeurs américains en 2018. La justice américaine explique, « Comme pour VPNFilter, les acteurs de Sandworm ont déployé Cyclops Blink sur des dispositifs de réseau dans le monde entier d’une manière qui semble indiscriminée ; c’est-à-dire que l’infection d’un dispositif particulier par les acteurs de Sandworm semble avoir été motivée par la vulnérabilité de ce dispositif au logiciel malveillant, plutôt que par un effort concerté pour cibler ce dispositif particulier ou son propriétaire pour d’autres raisons ».

Le FBI a opéré en toute discrétion

Un botnet est un réseau d’ordinateurs zombies, contrôlés par le cyberattaquant. Il peut rester en sommeil jusqu’au moment voulu. Le Département de la Justice américain admet ne pas être parvenu à identifier la cible de Cyclops Blink. Le réseau d’ordinateurs aurait pu être utilisé à des fins d’espionnage ou de sabotage. Ce n’est pas le plus important pour le procureur général Merrick Garland qui a déclaré, « Heureusement, nous avons pu perturber ce botnet avant qu’il ne puisse être utilisé ».

Cette perturbation a été exécutée en deux étapes. Tout d’abord, WatchGuard et Asus, avertis, ont publié un avis le 23 février pour prévenir leurs clients et les inciter à nettoyer leurs machines. Cette publication a eu un effet insuffisant selon les autorités, le nombre d’appareils avec le botnet a baissé de 39% seulement.

Les Américains ont donc décidé de passer à la vitesse supérieure. Le 18 mars, deux tribunaux ont discrètement autorisé le FBI à nettoyer à distance des réseaux informatiques d’entreprises basés aux États-Unis, parfois sans avertir en amont les victimes, rapporte le New York Times.

Les autorités insistent sur le fait que Cyclops Blink n’a pas complètement disparu, loin de là. Les recommandations de WatchGuard et Asus sont toujours valables assène le département de la Justice, « Le département encourage vivement les défenseurs de réseaux et les propriétaires d’appareils à consulter l’avis du 23 février et les communiqués de WatchGuard et d’ASUS ». Inciter les entreprises à agir pour leur cybersécurité est le dernier grand enjeu de ces révélations officielles.

Les États-Unis sont sur les dents

Une démarche d’autant plus importante que Sandworm a déjà fait la preuve de son pouvoir de nuisance. Le groupe rattaché au Kremlin est connu pour plusieurs opérations d’envergure contre le réseau électrique ukrainien en 2015, 2016, pour NotPetya en 2017 et d’autres, dont VPNFilter. En France il serait responsable du piratage des boîtes mail d’En Marche lors de la présidentielle 2017.

Les agences de renseignement américaines observent avec une attention non dissimulée les attaques qui touchent l’Ukraine. Que ce soit celle contre VIASAT au début de l’invasion ou plus récemment du fournisseur d’accès internet Ukrtelecom, le Pentagone et les services redoutent que ces cyberattaques russes pour le moment concentrées sur l’Ukraine finissent par arriver aux États-Unis.