Aux USA, le FBI affirme avoir pertubé les actions de pirates liés à l’armée russe. Les autorités américaines disent ainsi avoir repris le contrôle de milliers de routeurs et de pare-feu aux pirates militaires russes en utilisant le même procédé que ces derniers ont mis en place pour infecter les serveurs. « Heureusement, nous avons pu perturber ce botnet avant qu’il ne puisse être utilisé » ont affirmé les autorités.
L’information a été confirmée par le ministère de la justice aux USA qui affirme avoir autorisé l’opération du FBI : « L’opération a copié et supprimé des logiciels malveillants connus sous le nom de « Cyclops Blink » des appareils de commande et de contrôle du botnet, perturbant le contrôle du GRU (ndlr: Forces armées russes) sur des milliers d’appareils infectés dans le monde. Les victimes doivent prendre des mesures supplémentaires pour remédier à la vulnérabilité et empêcher les acteurs malveillants d’exploiter davantage les appareils non corrigés. » pouvait-on lire dans le communiqué du département de la justice. Lire ci-dessous le communiqué officiel
Le ministère de la Justice annonce l’interruption autorisée par le tribunal d’un botnet contrôlé par la Direction principale du renseignement de la Fédération de Russie (GRU)
L’opération a copié et supprimé des logiciels malveillants connus sous le nom de « Cyclops Blink » des appareils de commande et de contrôle du botnet, perturbant le contrôle du GRU sur des milliers d’appareils infectés dans le monde. Les victimes doivent prendre des mesures supplémentaires pour remédier à la vulnérabilité et empêcher les acteurs malveillants d’exploiter davantage les appareils non corrigés.
Le ministère de la Justice a annoncé aujourd’hui une opération autorisée par le tribunal, menée en mars 2022, pour perturber un botnet mondial à deux niveaux de milliers de périphériques matériels réseau infectés sous le contrôle d’un acteur menaçant connu des chercheurs en sécurité sous le nom de Sandworm, que le gouvernement américain a précédemment attribué à la Direction principale du renseignement de l’état-major général des forces armées de la Fédération de Russie (le GRU). L’opération a copié et supprimé les logiciels malveillants des pare-feu vulnérables connectés à Internet que Sandworm utilisait pour la commande et le contrôle (C2) du botnet sous-jacent. Bien que l’opération n’ait pas impliqué l’accès au logiciel malveillant Sandworm sur les milliers d’appareils victimes sous-jacents dans le monde, appelés « bots », la désactivation du mécanisme C2 a séparé ces bots du contrôle des appareils Sandworm C2.
« Cette suppression autorisée par le tribunal des logiciels malveillants déployés par le GRU russe démontre l’engagement du département à perturber le piratage des États-nations en utilisant tous les outils juridiques à notre disposition », a déclaré le procureur général adjoint Matthew G. Olsen de la division de la sécurité nationale du ministère de la Justice. « En travaillant en étroite collaboration avec WatchGuard et d’autres agences gouvernementales de ce pays et du Royaume-Uni pour analyser les logiciels malveillants et développer des outils de détection et de remédiation, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays. Le département reste déterminé à affronter et à perturber le piratage des États-nations, quelle que soit sa forme. »
« Grâce à une étroite collaboration avec WatchGuard et nos partenaires chargés de l’application de la loi, nous avons identifié, perturbé et exposé un autre exemple de piratage de victimes innocentes par le GRU russe aux États-Unis et dans le monde », a déclaré l’avocate américaine Cindy K. Chung pour le district ouest. de Pennsylvanie. « De telles activités ne sont pas seulement criminelles mais menacent également la sécurité nationale des États-Unis et de ses alliés. Mon bureau reste déterminé à travailler avec nos partenaires de la Division de la sécurité nationale, le FBI, les forces de l’ordre étrangères et le secteur privé pour défendre et maintenir la cybersécurité de notre pays.
« Cette opération est un exemple de l’engagement du FBI à lutter contre les cybermenaces grâce à nos pouvoirs uniques, nos capacités et la coordination avec nos partenaires », a déclaré le directeur adjoint Bryan Vorndran de la division Cyber du FBI. « En tant que principal organisme national d’application de la loi et de renseignement, nous continuerons à poursuivre les cyberacteurs qui menacent la sécurité nationale et la sécurité publique du peuple américain, de nos partenaires du secteur privé et de nos partenaires internationaux. »
« Le FBI est fier de travailler en étroite collaboration avec nos partenaires des forces de l’ordre et du secteur privé pour dénoncer les criminels qui se cachent derrière leur ordinateur et lancent des attaques qui menacent la sûreté, la sécurité et la confiance des Américains dans notre monde numériquement connecté », a déclaré l’agent spécial en charge Mike Nordwall. du bureau extérieur du FBI à Pittsburgh. « Le FBI a un engagement inébranlable à combattre et à perturber les efforts de la Russie pour prendre pied à l’intérieur des réseaux américains et alliés. »
Le 23 février, le National Cyber Security Centre du Royaume-Uni, la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security, le FBI et la National Security Agency ont publié un avis identifiant le malware Cyclops Blink, qui cible les périphériques réseau fabriqués par WatchGuard Technologies Inc. (WatchGuard) et ASUSTek Computer Inc. (ASUS). Ces périphériques réseau sont souvent situés sur le périmètre du réseau informatique d’une victime, offrant ainsi à Sandworm la capacité potentielle de mener des activités malveillantes contre tous les ordinateurs de ces réseaux. Comme expliqué dans l’avis, le logiciel malveillant semble être apparu dès juin 2019 et était le successeur apparent d’un autre botnet Sandworm appelé VPNFilter, que le ministère de la Justice perturbé par une opération autorisée par le tribunal en 2018.
Le même jour que l’avis, WatchGuard a publié des outils de détection et de correction pour les utilisateurs d’appareils WatchGuard. L’avis et les conseils de WatchGuard recommandaient tous deux aux propriétaires d’appareils de déployer les outils de WatchGuard pour supprimer toute infection malveillante et patcher leurs appareils avec les dernières versions des micrologiciels disponibles. Plus tard, ASUS a publié ses propres conseils pour aider les propriétaires d’appareils ASUS compromis à atténuer la menace posée par le malware Cyclops Blink. Les efforts des secteurs public et privé ont été efficaces et ont permis de remédier avec succès à des milliers d’appareils compromis. Cependant, à la mi-mars, la majorité des appareils initialement compromis restaient infectés.
Suite à l’autorisation initiale du tribunal le 18 mars, l’opération du département a réussi à copier et à supprimer le logiciel malveillant de tous les appareils C2 identifiés restants. Il a également fermé les ports de gestion externes que Sandworm utilisait pour accéder à ces appareils C2, comme recommandé dans les conseils de correction de WatchGuard (un changement non persistant que le propriétaire d’un appareil affecté peut annuler par un redémarrage de l’appareil). Ces étapes ont eu pour effet immédiat d’empêcher Sandworm d’accéder à ces appareils C2, perturbant ainsi le contrôle par Sandworm des appareils robots infectés contrôlés par les appareils C2 corrigés. Cependant, les appareils WatchGuard et ASUS qui ont agi comme des bots peuvent rester vulnérables à Sandworm si les propriétaires d’appareils ne suivent pas les étapes de détection et de correction recommandées par WatchGuard et ASUS.
L’opération annoncée aujourd’hui a tiré parti des communications directes avec le malware Sandworm sur les appareils C2 identifiés et, à part la collecte des numéros de série des appareils C2 sous-jacents via un script automatisé et la copie du malware C2, elle n’a pas recherché ni collecté d’autres informations auprès des réseaux de victimes. De plus, l’opération n’impliquait aucune communication du FBI avec des appareils robots.
Avant l’avis du 23 février, le FBI a tenté d’informer les propriétaires d’appareils WatchGuard infectés aux États-Unis et, par l’intermédiaire de partenaires étrangers chargés de l’application des lois, à l’étranger. Pour les victimes nationales dont les coordonnées n’étaient pas accessibles au public, le FBI a contacté des fournisseurs (tels que le fournisseur de services Internet d’une victime) et a demandé à ces fournisseurs d’informer les victimes. Comme l’exigent les termes de l’autorisation du tribunal, le FBI a notifié les propriétaires des appareils domestiques C2 à partir desquels le FBI a copié et supprimé le logiciel malveillant Cyclops Blink.
Les efforts pour perturber le botnet Cyclops Blink ont été menés par les bureaux extérieurs du FBI à Pittsburgh, Atlanta et Oklahoma City, la division cyber du FBI, la section de contre-espionnage et de contrôle des exportations de la division de la sécurité nationale et le bureau du procureur américain pour le district ouest de Pennsylvanie. Une assistance a également été fournie par la Section de la criminalité informatique et de la propriété intellectuelle et le Bureau des affaires internationales de la Division criminelle, ainsi que par le Bureau du procureur américain pour le district oriental de Californie.
Laisser un commentaire