Des hackers des services de renseignement russes ont infiltré un ordinateur à Washington avant de s’attaquer au réseau Wi-Fi d’une entreprise, puis d’une autre, jusqu’à atteindre leur cible. Ce piratage faisait partie des plans d’espionnage avant l’invasion de l’Ukraine.
Les services de renseignement russes avaient déjà commencé à mettre en œuvre leur stratégie à Washington avant le lancement de l’invasion de l’Ukraine. Dans un article publié le 22 novembre dans le magazine Wired, les experts en cybersécurité de la société Volexity révèlent une enquête de deux ans sur un piratage survenu depuis les rues de la capitale américaine.
Les chercheurs attribuent cette attaque au groupe de hackers russe Fancy Bear, une unité notoire affiliée au renseignement militaire russe (GRU). Le niveau de sophistication de l’attaque suggère que les pirates disposent de ressources importantes. Le nom de la cible n’a pas été divulgué, mais il s’agirait d’une entreprise opérant dans une zone sensible.
Cyberattaques : quand l’humain est le maillon faible
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et de sensibiliser vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurité des emails, en passant par la formation continue et les simulations d’attaques, cette solution rassemble tous les outils pour prévenir les cyber-risques.
Le maillon faible de cette entreprise ? Une connexion Wi-Fi mal configurée dans une salle de réunion. Les pirates ont d’abord infiltré un ordinateur connecté par Ethernet. Ce dispositif est alors devenu une plateforme toxique pour infiltrer le reste des postes. En activant le module Wi-Fi de cet ordinateur, les pirates ont établi une passerelle vers un autre réseau situé à proximité. Grâce aux informations d’identification Wi-Fi volées, les attaquants ont ensuite pu se connecter au réseau cible, situé de l’autre côté de la rue.
Cette technique, appelée « chaînage d’intrusions », repose sur l’utilisation successive d’appareils compromis comme relais, leur permettant de progresser vers leur cible sans laisser de trace évidente.
Informations volées avant l’invasion de l’Ukraine
Ces intrusions ont eu lieu dans les mois précédant et pendant l’invasion de l’Ukraine par la Russie en février 2022. Les cibles identifiées au sein du réseau piraté travaillaient sur des sujets liés à l’Ukraine, ce qui indique que l’opération visait à collecter des renseignements sensibles pour soutenir les efforts militaires ou stratégiques russes.
Cette technique de piratage reflète une évolution des méthodes du GRU, qui adapte sa tactique aux nouvelles contraintes de cybersécurité pour atteindre ses objectifs politiques. En 2018, des agents des renseignements se sont rendus à La Haye pour pirater le réseau Wi-Fi de l’Organisation pour l’interdiction des armes chimiques de La Haye. Cette institution travaillait à l’époque sur les armes chimiques utilisées par le régime syrien – soutenu par la Russie – et sur l’empoisonnement de l’ancien agent russe Sergueï Skripal à Londres.
Malgré l’intervention de Volexity pour expulser les hackers du réseau cible, ces derniers n’ont pas abandonné leur tentative. Ils ont cherché à revenir en arrière en accédant aux ressources des réseaux Wi-Fi précédents. L’enquête a également révélé qu’ils avaient probablement exploité d’autres vulnérabilités, notamment un appareil VPN compromis. Cette stratégie soigneusement orchestrée, combinée aux moyens déployés, ne laisse guère de doute sur le caractère étatique de l’opération.
