Pourquoi le NYT pense que la Russie a piraté Burisma – et où les preuves sont encore fragiles

Le piratage désastreux du Comité national démocrate en 2016 a été un signal d'alarme pour quiconque s'inquiète des campagnes internationales du chaos – et lundi soir, nous avons eu une nouvelle raison de s'inquiéter pour 2020. Le New York Times et la firme de cybersécurité Area1 ont révélé l’histoire d’un nouveau piratage par les services de renseignement russes visant Burisma, la société ukrainienne de gaz naturel au centre de la destitution en cours de Trump. Depuis des mois, des agents républicains font allusion à une horrible corruption au sein de l'entreprise, et si des espions russes ont vraiment piraté l'entreprise, cela ouvre des possibilités effrayantes.

Certains au Congrès prédisent déjà une rediffusion de 2016, avec Le représentant Adam Schiff commentant«Il semble certainement qu'ils y reviennent dans le but d'aider ce président.» C'est une pensée alarmante – et étant donné le refus de Trump de reconnaître le piratage russe la dernière fois, rien n'indique que la Maison Blanche ferait quoi que ce soit pour l'arrêter .

Mais si le rapport a brossé un tableau terrifiant, les preuves sont moins définitives qu'il n'y paraît. Il existe des preuves solides que Burisma a été ciblé avec succès par une campagne de phishing, mais il est beaucoup plus difficile de savoir qui était derrière la campagne. Il y a de réelles suggestions que le service de renseignement GRU de la Russie pourrait être impliqué, mais les preuves sont principalement circonstancielles, comme c'est souvent le cas avec les campagnes de piratage. Le résultat laisse le dossier contre la Russie frustrant et incomplet et suggère que nous pourrions entrer dans la campagne présidentielle avec plus de questions que de réponses.

La majeure partie des preuves de Area1 est présentée dans un rapport de huit pages publié conjointement avec le Fois article. La preuve principale est un schéma d'attaques qui ont précédemment ciblé le Hudson Institute et George Soros, utilisant généralement les mêmes registraires de domaine et FAI. Le plus accablant, les trois campagnes de phishing ont utilisé le même fournisseur SSL et les mêmes versions de la même URL, toutes se faisant passer pour un service appelé «My Sharepoint». Comme Area1 le voit, il s'agit du playbook GRU, et Burisma n'est que la dernière en date ligne de cibles. (Area1 n'a pas répondu aux demandes de commentaires répétées.)

Un graphique du rapport Area1

Mais tout le monde ne voit pas cette attribution basée sur le domaine comme un slam dunk. Quand Kyle Ehmke examiné les itérations antérieures du même modèle pour ThreatConnect, il en est sorti avec une conclusion plus mesurée, évaluant avec une «confiance modérée» que les domaines étaient impliqués avec APT28, sténographe de chercheur pour le GRU russe.

"Nous voyons des consistances", a déclaré Ehmke Le bord, «Mais dans certains cas, ces consistances ne sont pas cohérentes avec un seul acteur.» Ce modèle d'enregistrements et d'attaques de phishing semble vraiment être un playbook GRU, mais ce n'est pas leur seul playbook et ce ne sont pas les seuls à l'exécuter. .

Concrètement, cela signifie que les opérateurs de réseau devraient sonner l'alarme chaque fois qu'ils voient une attaque qui correspond à ce profil – mais rendre une décision définitive sur un seul incident est beaucoup plus difficile. L'infrastructure Web utilisée dans la campagne est entièrement accessible au public, et utilisée par de nombreuses autres parties également, donc rien ne compte comme une arme à feu. La caractéristique la plus distinctive est le terme «sharepoint», que les chercheurs n'ont vu que dans les URL étroitement liées au GRU. Mais n'importe qui peut enregistrer une URL contenant le mot «sharepoint», la connexion n'est donc que circonstancielle.

"Il s'agit d'un ensemble notable de consistances à rechercher et potentiellement utiliser pour identifier leur infrastructure", a déclaré Ehmke. "Mais cela ne veut pas dire que tout ce qui a ces consistances a été et sera APT28." En l'absence d'informations spécifiques sur les stratégies et les objectifs d'une tenue donnée, il est difficile de renforcer cette attribution. Mais aller dans la direction opposée – d'une attribution faible à une présomption d'intention – peut être dangereux.

Ce type d'attribution faible est frustrant et répandu dans le monde de la cybersécurité, et il peut poser de réels problèmes alors que les pays ont du mal à comprendre la diplomatie internationale de la cyberguerre. Farzaneh Badii, ancienne directrice exécutive du projet de gouvernance d'Internet de Georgia Tech, classe la faible attribution comme «des preuves circonstancielles qui peuvent être techniquement remises en question». 'ai pas à compter sur des entreprises privées ou des agences de renseignement gouvernementales. Sans cela, le problème de la confiance peut être difficile à résoudre.

«Les États financent principalement les cyberattaques par le biais de sous-traitants individuels et ne les exécutent pas eux-mêmes», explique Badii, ce qui rend les acteurs étatiques et les criminels privés difficiles à distinguer. Si vous craignez que les gouvernements ne lancent des arguments en faveur de la guerre ou que les entreprises privées ne saisissent les gros titres, ce problème ne fait qu’empirer. "Les sociétés d'attribution ne sont pas à venir et transparentes sur toutes leurs méthodes pour entreprendre l'attribution, il n'est donc pas facile d'évaluer leur mécanisme d'attribution."

Si vous vous inquiétez de l'ingérence russe dans les élections de 2020, rien de tout cela ne devrait être rassurant. Le GRU a vraiment piraté le DNC en 2016, et il n'y a aucune raison de penser qu'il ne tentera plus de trucs similaires, qu'il soit ou non derrière cette campagne de phishing. Il y a vraiment des raisons de penser que le GRU était impliqué. L'absence d'un pistolet fumant n'est pas rassurante – cela signifie que celui qui l'a fait s'en est sorti relativement propre. Mais si vous voulez simplement savoir si la Russie a piraté Burisma, la vraie réponse est peut-être que nous ne savons toujours pas.



Traduit de la source : https://www.theverge.com/2020/1/14/21065869/russia-burisma-hack-attribution-gru-apt28-fancy-bear-evidence

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *