En octobre 2014, une entreprise de sécurité américaine a révélé qu'un groupe de hackers affiliés au gouvernement russe, APT28, avait pris pour cible plusieurs pays d'Europe de l'est, dont la Géorgie, dans le cadre d'une vaste campagne d'espionnage. Deux ans et demi plus tard, APT28 – également appelé « Fancy Bear » ou « Sofacy » – est un nom familier dans le milieu de la sécurité informatique, mais également dans les médias. Le groupe doit sa popularité à son attaque contre le parti démocrate américain, et aux fuites de documents et d'emails qui en ont résulté.
Publicité
Avant le rapport de FireEye, les activités d'APT28 était le secret le mieux gardé de l'industrie de la cybersécurité. À l'époque, plusieurs sociétés étaient prêtes à partager des informations sur le groupe de pirates avec des sociétés concurrentes. Même Google a enquêté sur le groupe, et écrit un rapport technique de 40 pages qui n'avait jamais été publié jusque-là.Le rapport, que Motherboard a réussi à se procurer auprès de deux sources indépendantes, est assez commun dans le milieu du renseignement. Cependant, le public a rarement l'occasion de consulter un document de ce genre, surtout quand il n'émane pas d'une agence de renseignement mais d'une grande entreprise de la tech. Le rapport de Google s'appuie sur l'une des sources les plus intéressantes en matière de menace numérique : VirusTotal, un catalogue public qui répertorie les logiciels malveillants. Google l'a acquis en 2012.Sofacy et X-Agent, explique le rapport (le nom des malwares utilisés par APT28), « sont utilisés par un groupe de hachers sophistiqué commandité par l'État russe, et visant les anciennes républiques soviétiques, les membres de l'OTAN et d'autres pays d'Europe occidentale. »
Même si les chercheurs de Google ne s'intéressent pas directement à l'identité des individus qui se cachent derrière ces opérations, ils font allusion à l'hypothèse très répandue selon laquelle le groupe APT28 travaillerait pour le gouvernement russe. L'allusion en question est assez subtile, puisqu'elle apparait dans le titre même du rapport : « Peering into the Aquarium. »« Les chercheurs de Google connaissaient l'existence de Sofacy bien avant que les médias la révèlent au public. »
Publicité
Ce titre peut paraître obscur, mais pour ceux qui suivent de près l'actualité de l'espionnage russe, c'est une référence très claire au QG de l'agence de renseignement militaire, Glavnoye Razvedyvatel'noye Upravleniye, surnommé l'Aquarium.« Les chercheurs de Google connaissaient l'existence de Sofacy bien avant que les médias la révèlent au public », affirme Matt Suiche, chercheur en sécurité informatique et fondateur de Comae Technologies et de la conférence OPCDE. « Ils avaient fait le lien entre Sofacy, X-Agent et la Russie bien avant le rapport de FireEye, ESET et CrowdStrike. »
Dans son rapport, le chercheur note que APT28 a attaqué un grand nombre de cibles avec son premier malware, Sofacy, mais n'a utilisé X-Agent, son logiciel le plus sophistiqué, que pour des attaques contre des cibles « haute priorité » comme des unités militaires ukrainiennes.« Sofacy est trois fois plus courant que X-Agent sur Internet. Nous en avons trouvé 600 exemplaires différents », explique le rapport de Google.Un porte-parole de Google a affirmé par email que les « équipes de sécurité de l'entreprise surveillent en permanence les menaces potentielles pour les internautes et publient régulièrement des informations afin de mieux les protéger. »Le rapport note que la Géorgie enregistre le plus fort taux d'attaques du malware Sofacy, suivie par la Roumanie, la Russie et le Danemark.Même si ce rapport est un peu daté, il montre que, malgré ses compétences, APT28 a souvent été pris la main dans le sac ; en s'attaquant à des cibles politiques précises, le groupe a laissé deviner ses liens avec le gouvernement russe. Le document révèle également qu'une entreprise telle que Google, qui ne possède pas de logiciel installé sur des milliers d'ordinateurs (comme les fournisseurs d'antivirus et autres logiciels de sécurité), a encore beaucoup à apprendre sur les hackers travaillant pour les gouvernements, et ne peut se contenter de ses propres données.