Piratage d’un réseau d’électricité dans le Vermont : et si ce n’était pas les Russes ?

Au lendemain des sanctions portées par l’administration Obama contre la Russie pour son ingérence dans l’élection américaine, le Washington Post révèle qu’un malware russe a été détecté chez un fournisseur d’électricité du Vermont. Dans le cadre de ces sanctions, le département à la Sécurité Intérieure et le FBI ont publié un rapport détaillant les méthodes employées par les hackers du gouvernement russe pour mener à bien leur cyberattaque.

Une alerte précipitée

Parmi eux, les autorités distinguent deux groupes de hackers, « Cozy Bear » (qui apparait sous le nom APT 29 – Advanced Persistent Threat), et qui serait lié aux services russes de renseignement militaire (GRU) et « Fancy Bear » (ATP 28) lié aux services spéciaux russes (FSB). Tous deux sont désignés comme auteurs de plusieurs attaques contre les intérêts américains au cours des 15 dernières années, dont celle de la messagerie du parti Démocrate (DNC pour Democratic National Committee) dans le cadre de l’opération « Grizzly Steppe ».

Aussi, quand un employé de la compagnie d’électricité du Vermont, Burlington, scanne son compte de messagerie Yahoo et détecte une adresse IP suspecte associée, par les autorités, à la cyberattaque contre le Parti démocrate, l’alerte est donnée. La société explique avoir détecté un logiciel malveillant lié à Grizzly Steppe sur un seul ordinateur (non connecté au réseau national), comme rapporté par le WP, avant de revenir sur ses déclarations en expliquant avoir simplement « détecté un trafic suspect ».

Un malware qui n’en est pas un

Oui, mais.

Experts et officiels proches de l’enquête expliquent aujourd’hui qu’il est possible que le trafic de cette adresse IP soit anodin et qu’elle n’est pas toujours liée à une activité malveillante. En effet, le trafic de cette adresse IP se retrouve ailleurs aux États-Unis et n’est pas unique à Burlington, suggérant ainsi que la société n’était pas une cible de la Russie, explique le Washington Post. Le rapport soulignait toutefois que toutes les adresses IP mentionnées n’étaient pas nécessairement liées à des activités malveillantes, « certaines peuvent correspondent à des activités légitimes ». Ce qui semble avoir été le cas pour Burlington.

Par ailleurs, au cours de leur enquête sur le seul ordinateur infecté les responsables US ont déniché un ensemble d’outils logiciels connu sous le nom de Neutrino, et couramment utilisé par les hackers pour délivrer des malwares. Toutefois, cette suite n’est liée à aucune opération de piratage russe connue.

Aujourd’hui, les experts estiment que la diffusion du rapport dévoilant les méthodes des hackers russes et un grand nombre d’adresses IP a généré plus de confusion qu’autre chose, même si l’intention était de mettre à terre Grizzly Steppe en informant les potentielles cibles. 30 % des adresses IP mentionnées sont des serveurs ou des proxy anodins utilisés par des entreprises comme Amazon et Yahoo.

Donald Trump n’a d’ailleurs pas manqué de réitérer ses doutes quant à la responsabilité de la Russie dans les cyberattaques dénoncées par le gouvernement américain.