Journal d'investigation en ligne et d'information‑hacking
par Jef

Fancy Bear : du spearphishing, des bitcoins et beaucoup de YOLO

Des espions russes pas très discrets

Le dossier d'accusation à l'encontre de 12 agents russes soupçonnés d'avoir participé au piratage de la campagne démocrate de 2016 révèle une quantité de ratés stupéfiante de la part des agents russes, et relie ce piratage aux Macron Leaks.

22 Kirova, Moscou - Google Street View

Ce sont pas moins de 12 agents de deux unités, 21165 et 74455, du Glavnoe Razvedyvatelnoe Upravlenie, ou GRU, l'un des (très gros) services de renseignement russes, qui sont identifiés dans le document. Celui-ci apporte de nombreux éléments techniques, qui complètent ou précisent des informations qui étaient d'ores-et-déjà connues. Il permet ainsi de se faire une image très nette de la campagne de piratage ayant visé les élections présidentielles américaines de 2016. Outre la campagne d'Hillary Clinton, du Democratic National Committee (DNC), du Democratic Congressional Campaign Committee (DCCC), les attaques ont également visé le système électoral de différents états, particulièrement l'Illinois, et un fournisseur de logiciel électoraux, VR Systems. Ces actions avaient notamment débouché sur la fuite de très nombreux emails et documents, d'abord via le site « DCLeaks », dans un second temps par l'entremise d'un avatar créé pour l'occasion, « Guccifer 2.0 », puis, finalement, via l'organisation Wikileaks.

Les responsabilités de chacune deux unités sont assez clairement établies par le dossier. L'unité 21165, installée au 20 Komsomol'skiy Prospekt, dans les anciens locaux des services de cryptanalyse soviétique à Moscou, s'est chargée du piratage proprement dit. Une campagne de spear phishing (harponnage, ou hameçonnage ciblé) a permis de récupérer les informations d'authentification de comptes emails, d'accéder aux machines des réseaux du DCCC puis du DNC, de pirater le serveur de messagerie Microsoft Exchange du DNC et, enfin, d'exfiltrer les données et documents vers ses propres serveurs. L'unité 74455, que le dossier situe au 22 Kirova à Moscou, s'est quant à elle occupée de la diffusion des informations auprès du public via différents intermédiaires, notamment Wikileaks. La plupart de ces éléments étaient des faits connus, mais le document révèle des détails inédits.

Le dossier d'accusation démontre aussi l'étendue de la compétence des services de renseignement et d'enquête américains, mais aussi l'agressivité, le faible niveau de sophistication et de discrétion des agents russes.

Intraçable, le Bitcoin ?

Lorsqu'un acteur malveillant, qu'il s'agisse de criminalité ou d'attaques commandées ou soutenues par des gouvernements, souhaite monter une opération, il a besoin d'avoir une infrastructure à sa disposition. Il lui faut par exemple réserver des noms de domaines susceptibles de leurrer ses cibles, et se procurer des serveurs. Ces derniers pourront servir à conduire des « reconnaissances » pour obtenir des renseignements sur les personnes ou les systèmes d'information visés, héberger les sites Web ou envoyer les emails utilisés pour le spear phishing, à masquer la provenance réelle de l'attaque, à exfiltrer des documents ou encore à piloter à distance l'action des logiciels malveillants une fois qu'ils sont implantés chez la victime (« Command & Control » ou C2). Cette infrastructure est l'un des éléments-clés lorsqu'il s'agit de remonter la piste des attaquants. Au contraire, les attaquants font tout ce qu'ils peuvent pour éviter qu'on ne puisse relier cette infrastructure à leur identité réelle, notamment les informations de paiement. L'une des techniques les plus efficaces est de pirater au préalable ces serveurs. D'autres possibilités existent, forcément moins efficaces sur le long terme, comme effectuer les transactions via d'éphémères sociétés écran domiciliées dans des paradis fiscaux. Plus simplement, il n'est pas rare qu'ils passent par des cryptomonnaies dont les transactions sont réputées anonymes, comme le Bitcoin.

Or, contrairement à une idée reçue largement répandue, Bitcoin n'est pas intraçable. Par conception c'est même le contraire, dans la mesure où toutes les transactions sont enregistrées de manière irréversible dans la chaîne de blocs et, surtout, sont publiques. Et pour retraçer l'historique de transactions en Bitcoin, les services américains semblent particulièrement compétents, et ce malgré différentes techniques utilisées par les agents du GRU pour brouiller les pistes : cartes pré-payées, échanges en pair-à-pair ou via d'autres cryptomonnaies, minage. En fait, il semble même que les transactions Bitcoin aient été un élément central des Investigations. En effet, les enquêteurs américains ont pu relier l'achat de différents composants de l'infrastructure utilisée contre la campagne démocrate au pool de minage ou à des comptes sur des sites de change sous le contrôle du GRU. Des noms de domaines, d'abord, comme dcleaks.com, le domaine utilisé pour faire fuiter les données. Dans le code d'une variante du malware utilisé contre le DNC, « X-Agent », on trouve l'adresse linuxkrnl.net, un nom de domaine correspondant lui aussi à une transaction Bitcoin effectuée depuis une adresse Bitcoin du GRU. Deux autres noms de domaines, accounts-qooqle.com et account-gooogle.com, utilisés cette fois-ci pour les opérations d'hameçonnage ciblé des comptes Google, ont été acquis de cette manière. Les locations de quatre serveurs ayant servi à l'exfiltration de documents, à l'hébergement du site dcleaks.com, ou au pilotage des implants sur les réseaux des victimes (C2 et proxy) sont également liés à ces adresses Bitcoin. Enfin, c'est l'une de ces adresses qui a permis de payer la location d'un VPN utilisé à plusieurs reprises lors de l'opération.

Des réquisitions en pagaille

L'idée d'un Internet hors de portée des forces de l'ordre, d'un « Far West numérique » s'est imposé comme un un lieu commun, notamment dans la sphère politique (et chez les ayant-droit des industries culturelles). Le dossier du procureur Mueller démontre au contraire qu'elle disposent d'une arme d'information massive : les réquisitions judiciaires, ou subpoena en VO. En effet, on peut y lire que les enquêteurs ont actionné ce levier à de multiples reprises.

Le document indique par exemple que le malware implanté sur le réseau du DCCC (X-Agent), « transmettait des informations depuis les ordinateurs des victimes vers un serveur, loué par le GRU et basé en Arizona ». Les enquêteurs indiquent ensuite que, le 14 avril, les attaquants « ont activé à plusieurs reprises les fonctions d'enregistrement des frappes clavier et de copie d'écran pour surveiller l'activité de l'ordinateur de l'Employé 1 du DCCC (probablement Sarah Hamilton, ndr) pendant huit heures ». Le DCCC et le DNC se sont aperçus du piratage environ deux semaines plus tard, et ont alors engagé une société spécialisée, Crowdstrike (Company 1, dans le document), pour les aider à « identifier la portée des intrusions ». Vu le niveau de détail exprimé dans le document, notamment les repères temporels, on comprend que l'hébergeur fournissant le serveur au GRU depuis l'Arizona a sans doute coopéré avec les autorités, qui ont dès lors eu accès à de précieuses informations, quasiment en temps réel. Et ce jusqu'à ce que les attaquants tentent d'effacer leurs traces, le 20 juin, quelques jours après que Crowdstrike ait communiqué publiquement sur le piratage.

Extrait du dossier d'accusation - DOJ
Extrait du dossier d'accusation - DOJ

La même logique s'applique à d'autres fournisseurs de service, comme celui du serveur « basé en Illinois » auquel les « conspirateurs se sont connectés » en avril 2018, ou à Twitter, qui a dû fournir les adresses IP utilisées pour se connecter au compte « @Guccifer2_ », puisque les enquêteurs ont pu relier celui-ci au VPN loué par le GRU, ainsi que les messages directs, dans la mesure où les échanges avec Wikileaks (Organization 1, dans le document) sont précisément cités. Il est possible que WordPress, sur lequel « Guccifer » hébergeait son blog, ait également été de la partie, ainsi que le prestataire de paiement en cryptomonnaie utilisé pour la réservation du nom de domaine dcleaks.com, peut-être Bitpay.

Des boulettes en veux-tu en voilà

On peut déduire de certains passages du document que les enquêteurs auraient eu accès à l'historique de recherches de certains des agents russes :

« Le même jour, Yermakov effectuait des recherches d'informations en source ouverte à propos du réseau du DNC, du parti démocrate, et d'Hillary Clinton. »

« Yermakov effectuait des recherches sur des commandes Powershell relatives à l'accès et à la gestion de Microsoft Exchange Server. »

« Le 31 mai 2016, Yermakov effectuait des recherches d'informations en source ouverte à propos de Company 1 (Crowdstrike, ndr) et sur ce qu'elle écrivait sur X-Agent et X-Tunnel. »

« En août 2016, le FBI émettait une alerte à propos du piratage du SBOE1 et identifiait une partie de l'infrastructure utilisée pour conduire le piratage. En réponse, Kovalev supprimait son historique de recherche. »

L'une des hypothèses qui permettrait d'expliquer l'accès des enquêteurs à ces informations est une compromission des ordinateurs de ces agents. La seconde, une réquisition judiciaire auprès de Google, et aussi tout à fait possible. Cela signifierait qu'ils utilisaient Google comme moteur de recherche, en étant connecté sur leur compte Google. Une telle ingénuité pourrait paraître surprenante, au premier abord, chez un agent agissant censé agir la clandestinité, mais l'est finalement beaucoup moins si l'on tient compte du degré de « YOLOitude » de la fine équipe. Morceaux choisis.

Pour l'opération de spear phishing, nos joyeux drilles utilisaient ainsi le raccourcisseur d'URL Bitly, sur lequel ils avaient ouvert un compte sous le pseudonyme « john356gh » en utilisant l'adresse email « dirbinsaabol@mail.com ». Ils emploieront cette même adresse email pour s'inscrire sur une plateforme de cryptomonnaie. Ce sont des fonds issus de ce compte qui seront utilisés pour réserver le nom de domaine dcleaks.com.

Pour louer le serveur qui servait à l'hébergement du site Web dcleaks.com, ils effectuaient un paiement depuis une adresse Bitcoin, qui correspondait en fait au reliquat d'une précédente transaction, celle de l'achat d'un VPN. VPN qu'ils ont utilisé pour se connecter au compte @Guccifer_2 sur Twitter, et pour enregistrer différents noms de domaine de spear phishing. D'après The Daily Beast, il semble également que l'un des agents se soit connecté au moins une fois au compte Twitter sans VPN, en exposant donc son adresse IP réelle. Pour la location du serveur dcleaks.com, ils passeront par un prestataire roumain mais… Via une plateforme de paiement américaine.

Ils accédaient à un autre compte Twitter, @dcleaks_, depuis la même adresse IP que d'autres comptes, comme @BaltimoreIsWhr dont ils se servaient pour diffuser de la propagande anti-Clinton sous le hashtag #BlacksAgainstHillary. Pour certaines transactions bitcoins, ils se connectaient aux services de paiement via les mêmes adresses IP — les mêmes ordinateurs — que pour « conduire leurs activités de piratage » proprement dites.

Lors des échanges avec Wikileaks, et après plusieurs échecs à transférer les documents à l'organisation, ils envoyaient un email contenant une pièce-jointe chiffrée par GPG. L'email, donc, n'était lui pas chiffré du tout. On peut donc en déduire que son contenu a été vraisemblablement intercepté par les services américains ou l'un de leurs partenaires.

Du GRU à l'Internationale de l'extrême-droite

Interrogé par l'agence The Associated Press en juin 2017, après l'épisode des Macron Leaks, Guillaume Poupard, le patron de l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI), se refusait à confirmer — ou à infirmer — la responsabilité de la Russie dans le piratage des emails du parti En Marche. Il répondait, à juste titre, que le piratage « était tellement générique et simple que cela aurait pu être n'importe qui ». C'est une chose que l'on pourrait également dire de la campagne de piratage des élections US. En effet, si les agents russes ont fait preuve d'agressivité et de persévérance, l'essentiel de leurs efforts ayant consisté à récolter des mots de passe via des opérations de spear phishing.

Dans plusieurs fichiers Excel des Macron Leaks, ces emails et documents issus de la campagne 2017 du candidat, on trouvait, dans les métadonnées, un nom russe, Рошка Георгий Петрович, ou Roshka Georgiy Petrovich. La présence de cette information indique qu'il aurait pu modifier, ou ouvrir et sauvegarder par mégarde, ces documents. The Insider a pu se procurer la liste des participants à la très confidentielle conférence PAVT, pour 2016 et 2017. Y figure le nom « Georgiy Roshka », inscrit en sa qualité de membre de « l'unité militaire 26165 », la même que celle à l'origine du piratage du parti démocrate.

Metadonnées du fichier "18.xlsx" - Reflets
Metadonnées du fichier "18.xlsx" - Reflets

On trouve donc une grande similitude dans les modes opératoires entre le piratage de la campagne d'Hillary Clinton et de celle de l'équipe Macron. Avec une petite différence. Dans le cas du parti démocrate, les documents ont été publiés, d'abord par les agents eux-mêmes sur dcleaks.com, puis dans un second temps par l'intermédiaire de Wikileaks. Dans le cas des Macron Leaks, si le piratage est basé sur le même mode opératoire, la fuite a, elle, emprunté un itinéraire différent. Une enquête du Monde raconte en effet comment la diffusion des documents a été orchestrée au sein de l'extrême-droite américaine.

1 Commentaire
Une info, un document ? Contactez-nous de façon sécurisée