“Vulkan Files”: une fuite de milliers de documents révèle les plans de cyberguerre russe
-
Ce jeudi 30 mars, plusieurs médias internationaux ont publié leur enquête, menée par un consortium de journalistes, portant sur une société privée russe nommée Vulkan. Cette enquête, surnommée les “Vulkan Files”, met en lumière les tactiques utilisées par les agences de renseignement russes pour mener des cyberattaques de grandes ampleurs. Une divulgation rendue possible grâce à des documents datant de la période entre 2016 et 2021 fournis par un expert russe en cybersécurité mécontent de la guerre en Ukraine.
“En raison des événements en Ukraine, j’ai décidé de rendre ces informations publiques. L’entreprise est mal intentionnée et le gouvernement russe est complice. Je suis en colère contre la guerre. J’espère que vous pourrez utiliser ces informations pour montrer ce qui se passe derrière les portes closes”, a déclaré le lanceur d’alerte russe à l’initiative de la fuite de 5.000 pages de documents et de l’enquête qui s’ensuit.
L’enquête est dirigée par des journalistes de Paper Trail Media et de Der Spiegel, en collaboration avec The Guardian, Le Monde, Süddeutsche Zeitung et The Washington Post.
La société russe NTC Vulkan est à première vue une entreprise de cybersécurité banale, mais les documents montrent que cette dernière est pleinement engagée dans le développement des ambitions de cyberguerre de la Russie. Les travaux de NTC Vulkan ont été liés aux services secrets russes FSB, aux services de renseignements militaires GRU et aux services de renseignements étrangers SVR.
Les ingénieurs de l’entreprise créent des programmes informatiques et des bases de données qui permettent aux services de renseignement russes et aux groupes de pirates informatiques de mieux trouver les failles, de coordonner les attaques et de surveiller les activités en ligne. Les documents suggèrent également que l’entreprise est impliquée dans la diffusion de désinformation et qu’elle a créé des systèmes capables de perturber à distance des cibles réelles, telles que des systèmes de contrôle maritimes, aériens et ferroviaires.
L’un des documents établit un lien entre un outil de cyberattaque et le redoutable groupe de pirates “Sandworm” qui, selon des responsables américains, a paralysé à deux reprises le réseau électrique ukrainien, perturbé les Jeux olympiques d’hiver de 2018 et lancé en 2017 “NotPetya”, la cyberattaque la plus destructrice de l’histoire. Sous le nom de code Scan-V, l’outil détecte les vulnérabilités via Internet, qui sont ensuite stockées pour être utilisées dans de futures cyberattaques.
Un autre système appelé Amezit constitue un plan de surveillance et de contrôle de la toile dans les régions placées sous le joug de la Russie. On ignore si ce système sera déployé dans les parties occupées de l’Ukraine, mais la Russie a déjà pris le contrôle des services Internet et téléphoniques ukrainiens de ces régions. Les citoyens ukrainiens ont été contraints de s’affilier à des opérateurs de télécommunications de Crimée, et des cartes SIM ont été distribuées dans des “camps de filtrage” dirigés par le FSB.
Avec PRR, un autre sous-système d’Amezit, l’armée russe crée de faux profils sur les réseaux sociaux, à l’aide de photos volées et utilisées pendant des mois pour laisser une trace numérique réaliste afin de les utiliser pour diffuser de la désinformation. Les documents montrent des captures d’écran de faux comptes Twitter entre 2014 et le début de cette année, qui diffusent notamment une théorie du complot sur Hillary Clinton et nient que des civils syriens ont été tués lors de frappes aériennes russes.
Un troisième système construit par Vulkan prend le nom de “Crystal-2V”. Et il est encore plus redoutable. Ce dernier simulerait des attaques contre une série d’infrastructures nationales essentielles, notamment des lignes de chemin de fer, des centrales électriques, des aéroports, des voies navigables, des ports et des systèmes de contrôle industriel.
Certains documents contiennent des illustrations de cibles potentielles. On y retrouve notamment une carte des États-Unis avec des dizaines de points clés ainsi qu’une illustration contenant des informations sur une centrale nucléaire suisse et son ministère des Affaires étrangères.
Cinq agences de renseignement occidentales et plusieurs entreprises de cybersécurité qui ont pu examiner les documents sont convaincues de leur authenticité.
Toutefois, les experts n’ont pas été en mesure de prouver que les outils précités avaient déjà été utilisés par la Russie.
Vulkan a été fondé en 2010 par Anton Markov et Alexander Irzhavsky. Les deux hommes ont servi dans l’armée russe par le passé et sont diplômés de l’Académie militaire de Saint-Pétersbourg, où ils ont obtenu respectivement les grades de capitaine et de major. “Ils avaient de bons contacts dans ce domaine”, explique un ancien employé de l’entreprise.
Cette dernière a été lancée à une époque où la Russie développait ses capacités informatiques à une vitesse fulgurante. En 2011, Vulkan a reçu des autorisations spéciales du gouvernement pour collaborer à des projets militaires secrets. Elle emploie plus de 120 personnes dont une soixantaine de développeurs. À cela s’ajoute une douzaine de travailleurs indépendants.
La philosophie officielle de l’établissement rappelle davantage celle d’une entreprise de la Silicon Valley que celle d’une société d’espionnage. On y retrouve une équipe de football propre et les employés reçoivent des e-mails contenant des conseils de remise en forme. Le slogan “Make the world a better place” est au centre d’une vidéo promotionnelle. Le patriotisme est tenu en haute estime chez Vulkan, et de nombreux membres du personnel ont étudié à l’Université technique d’État de Moscou, où, traditionnellement, de nombreux travailleurs du secteur de la défense ont pris leur retraite.
Jusqu’à l’invasion russe en Ukraine, le personnel de Vulkan se rendait régulièrement en Europe occidentale et assistait à des conférences sur les technologies de l’information et de cybersécurité.
D’anciens employés de Vulkan vivent même aujourd’hui en Allemagne, en Irlande et dans d’autres pays de l’UE. Certains travaillent pour de grandes entreprises technologiques. Deux d’entre eux travaillent chez Amazon Web Services et Siemens.
Il est difficile de savoir si les anciens ingénieurs de Vulkan qui vivent actuellement en Occident présentent un risque pour la sécurité et s’ils ont attiré l’attention des services de contre-espionnage occidentaux. La plupart d’entre eux semblent avoir de la famille en Russie, une vulnérabilité que le FSB utilise pour faire pression sur les professionnels russes à l’étranger et les contraindre à coopérer.
Un ancien employé de Vulkan a déclaré à un journaliste qu’il regrettait son travail. “Au début, on ne savait pas très bien en quoi cela consistait. Mais au bout d’un certain temps, j’ai compris que je ne pouvais pas continuer et surtout que je ne pouvais plus y adhérer. J’avais peur qu’il m’arrive quelque chose ou que je finisse en prison.”
Pour sa part, le lanceur d’alerte est conscient des dangers, mais il affirme avoir pris des précautions extrêmes en laissant sa vie antérieure derrière lui et en vivant désormais “comme un fantôme”.
Deux «cibles» suisses, dont la centrale nucléaire, apparaissent dans des documents d’une firme russe comptant parmi sa clientèle de dangereux hackers.
Source pour abonnés: https://www.tdg.ch/muehleberg-figure-dans-un-manuel-de-piratage-russe-816027638837
-
c’est toujours la faute des hackers russes
-
@duJambon Brrrrrr ça fout les j’tons.
-
@ake
C’est fait pour.
-
en tout cas ceux qui bossent chez vulkan doivent avoir un très bon niveau
-
Le concepteur en chef des cyberarmes russes travaille aujourd’hui chez Amazon
Les journalistes qui enquêtent pour le magazine Spiegel l’appellent Sergei N. et demandent:
«Que fait un spécialiste russe de la cyberguerre dans une entreprise qui héberge une grande partie de l’informatique de centaines de groupes mondiaux, dont l’infrastructure constitue un pilier de l’Internet mondial? AWS ne pouvait-elle pas ou ne voulait-elle pas savoir ce que N. faisait auparavant? En juin 2019 encore, on trouve des commentaires signés de son nom dans un document divulgué [par NTC Vulkan]. A ce moment-là, il a déclaré qu’il travaillait déjà pour AWS.»
source: spiegel.deAWS est l’acronyme d’Amazon Web Services, leader mondial du cloud computing. La filiale d’Amazon exploite des centres de calcul dans le monde entier, et la Confédération compte parmi ses clients.
Interrogé par le Spiegel, AWS s’est contenté de faire savoir que la sécurité des données des clients était une priorité absolue.
Selon les rapports, AWS avait probablement embauché le collaborateur de haut niveau de Vulkan en 2018, soit quatre ans avant l’invasion de l’Ukraine. A l’époque, il semblait apparemment que de nombreux responsables du personnel dans les organisations occidentales ne voyaient aucun problème à embaucher des informaticiens russes.
Il faut noter que certains liens commerciaux existaient entre le NTC Vulkan et des groupes américains. Plusieurs grands fabricants, dont IBM, Boeing et Dell, ont collaboré avec Vulkan, selon leur site web.
Il s’agissait de développer des logiciels à des fins commerciales, sans liens apparents avec les services secrets et les opérations de piratage. Et entre-temps, il n’y aurait plus de relations commerciales.
Ce qui n’est pas vraiment rassurant non plus, c’est que Vulkan était déjà actif depuis longtemps, comme le montrent les recherches. Selon le rapport de la ZDF, Google a confirmé qu’une adresse mail de Vulkan avait été identifiée dès 2012 en lien avec des logiciels malveillants de la troupe de pirates russes Cozy Bear.
Source et beaucoup plus: https://www.watson.ch/fr/international/analyse/915242748-7-faits-inquietants-sur-les-cyberguerriers-de-poutine
