Cyberespionnage : des hackers russes accusés d’avoir infiltré des réseaux sensibles dans le monde entier

Des pirates liés à l'armée russe ont dérobé des informations sensibles à des gouvernements, des forces armées et des infrastructures critiques,"en exploitant des routeurs vulnérables dans le monde entier", a révélé mercredi le FBI à l'issue d'une vaste enquête internationale.Le ministère américain de la Justice, en collaboration avec plusieurs partenaires étrangers, a mis au jour cette opération d'ampleur, le groupe de pirates informatiques russes Fancy Bear étant identifié comme le coupable.Les pirates, qui font partie de l'agence de renseignement militaire russe GRU et sont connus sous le nom d'unité GRU 26165, ont redirigé le trafic internet via des routeurs mal protégés pour voler des mots de passe et des données cryptées, selon une déclaration commune.Le service de sécurité ukrainien SBU, qui a également participé à l'enquête, a expliqué qu'après avoir "compromis" des dispositifs Internet vulnérables, les pirates russes ont redirigé leur trafic via un réseau pré-déployé de serveurs DNS."De cette façon, ils ont agi comme des '"intermédiaires" dans l'espace en ligne pour collecter des mots de passe, des jetons d'authentification et d'autres informations sensibles, y compris des courriels qui, dans des circonstances normales, sont protégés par les protocoles cryptographiques SSL (Secure Sockets Layer) et TLS (Transport Layer Security)", a déclaré le SBU.Le SBU a indiqué que les agents du GRU prévoyaient d'utiliser les informations obtenues pour "mener des cyber-attaques, du sabotage d'informations et de la collecte de renseignements".Selon la déclaration du SBU, les services spéciaux russes ont accordé une attention particulière aux informations échangées par les employés et le personnel militaire des organes de l'État, des unités de l'armée ukrainienne et des entreprises du complexe militaro-industriel.Le FBI a déclaré que le GRU avait "compromis sans discernement un grand nombre de victimes américaines et mondiales, puis filtré les utilisateurs touchés, en ciblant en particulier les informations liées à l'armée, au gouvernement et aux infrastructures critiques".L'enquête a révélé que le groupe utilise cette technique pour acquérir des données au moins depuis 2024.La Roumanie, l'un des pays participant à l'opération, a déclaré que les cyber-opérateurs du GRU "collectaient des informations militaires, gouvernementales et liées aux infrastructures critiques", selon le président Nicușor Dan."La Russie poursuit donc sa guerre hybride contre les pays occidentaux - seuls ceux qui sont de mauvaise foi peuvent ne pas le voir", a déclaré Nicușor dans un message publié sur X.Les services de renseignement et d'application de la loi des États-Unis, du Royaume-Uni, de l'Ukraine, de la Pologne, de l'Allemagne, de l'Italie, du Canada, de la République tchèque, de la Slovaquie, du Danemark, de la Finlande, de la Norvège, de la Roumanie, du Portugal et des États baltes ont tous été impliqués dans l'enquête.Qu'est-ce que "Fancy Bear" ?Le groupe a été identifié comme étant composé de cyberacteurs du 85e Centre principal de services spéciaux (85e GTsSS) du GRU russe, également connu sous les noms d'APT28, Fancy Bear, Tsar Team et Forest Blizzard.Ce groupe de cyberespionnage notoire de l'agence de renseignement militaire russe est actif depuis au moins 2004, tandis que certaines sources affirment que l'unité 26165 - une désignation typique des unités de l'armée russe - a été formée pour la première fois à l'époque soviétique, dans les années 1970.On ne sait pas exactement combien de membres compte le groupe, mais les autorités américaines et des enquêtes journalistiques ont précédemment révélé des preuves que l'unité bénéficiait d'un financement public et de ressources considérables de la part du Kremlin.Les autorités pensent que Fancy Bear est à l'origine du piratage, en 2015, du Bundestag allemand, de la chaîne française TV5Monde et de plusieurs banques américaines, dont Bank of America.Il s'est également avéré être le principal acteur d'autres cyberattaques visant l'Ukraine, l'OTAN, l'OSCE et des entreprises de défense telles qu'Academi (anciennement Blackwater), Boeing, Lockheed Martin et d'autres.Les gouvernements occidentaux et les experts en sécurité ont également accusé Fancy Bear d'avoir attaqué le Comité national démocrate avant les élections américaines de 2016.Toujours en 2016, les pirates de Fancy Bear ont volé des données médicales d'athlètes à l'Agence mondiale antidopage (AMA).Ils ont ensuite divulgué des informations personnelles qu'ils avaient obtenues sur certains des athlètes les plus célèbres du monde, notamment Venus et Serena Williams.