Les « Vulkan Files » révèlent les tactiques de la cyberguerre russe

Les « Vulkan Files », publiés jeudi (30 mars), concernent la société russe RTV Vulkan et mettent en lumière l’étroite imbrication des opérations militaires classiques, des cyberopérations et de la guerre psychologique du président russe Vladimir Poutine.

Les dossiers auraient été remis au média allemand Suddeutsche Zeitung le 24 février 2022 par un lanceur d’alerte qui s’opposait à l’invasion de l’Ukraine. Le contenu a été analysé par plus de 50 journalistes de huit pays différents, travaillant avec des médias tels que The Guardian, le Washington Post et Le Monde, sous la direction du Paper Trail Media et du média Der Spiegel.

« Des milliers de pages de documents secrets révèlent comment l’entreprise de défense NTC Vulkan, basée à Moscou, a aidé les services de renseignement russes à renforcer leur capacité à lancer des cyberattaques, à diffuser de la désinformation et à surveiller l’internet. L’enquête a révélé les liens de NTC Vulkan avec “Sandworm” et “Cozy Bear” », écrit Paper Trail Media.

La fuite révèle des preuves d’outils utilisés pour influencer les discussions sur les réseaux sociaux, surveiller et espionner, manipuler l’opinion publique, interférer dans les élections et censurer. Elle montre également les relations étroites entre les agences de renseignement russes et l’entreprise Vulkan, qui s’est régulièrement exprimée sur des sujets tels que la lutte contre l’« extrémisme » numérique.

« Il ne s’agit pas de contre-attaquer de manière agressive. Cependant, il s’agit bien sûr de s’assurer que nous avons le pouvoir de détecter et d’arrêter les attaques. Ces compétences sont nécessaires », a déclaré Nancy Faeser, ministre fédérale allemande de l’Intérieur, en réaction à ces révélations.

Contexte

Les fichiers divulgués comprennent des documents internes et des accords avec des fabricants de logiciels, ainsi qu’une liste de clients de facto comprenant le service russe de renseignement intérieur (FSB), le service de renseignement extérieur (SWR), le service de renseignement militaire (GRU) et l’unité 74455 du GRU. Cette dernière constitue le groupe de pirates informatiques Sandworm, probablement responsable des pannes d’électricité en Ukraine et qui a activement soutenu l’invasion russe.

L’entreprise russe de cybersécurité a déjà été accusée par le Groupe d’analyse des menaces de Google (TAG) d’avoir participé à une campagne de logiciels malveillants menée par le groupe de pirates informatiques russes « Cozy Bear » en 2012.

Les documents divulgués décrivent divers outils, notamment pour détecter les failles de sécurité et planifier des attaques contre les infrastructures de réseau, la censure, la désinformation et la surveillance.

Scan-V

Scan-V est un outil utilisé depuis 2018 par Moscou pour intercepter numériquement les ennemis.

Ce logiciel recueille des informations sur la cible, telles que la structure du réseau, les départements et les employés, afin d’espionner à distance.

L’acquisition des connaissances est partiellement basée sur des sources publiques, y compris des sites web informant sur les failles de sécurité. Dans le cadre d’un outil plus vaste, il recherche les vulnérabilités des systèmes cibles afin de coordonner les attaques en interne. Tous les points vulnérables sont enregistrés et stockés dans une base de données.

Amezit

L’outil Amezit est conçu pour la censure, la surveillance et la désinformation, mais aussi pour détecter les failles et les lacunes de sécurité dans le logiciel d’équipements de télécommunications spécifiques d’entreprises telles que Huawei, Juniper et Cisco. Pour perturber le trafic réseau, des pages connues sont imitées et des contenus faux ou manipulés y sont diffusés.

À des fins de désinformation, de faux profils sont créés en masse pour diffuser à grande échelle des contenus pro-Kremlin par courrier électronique, SMS et à travers les réseaux sociaux. L’opinion publique peut être influencée par la diffusion ciblée de hashtags individuels.

L’équipe de recherche internationale des « Vulkan Files » a identifié plusieurs centaines de comptes Twitter qui pourraient être directement ou indirectement liés aux documents.

Afin de ne pas pouvoir attribuer une identité russe à ces activités et petits détails, les instructions comprennent la création de comptes de messagerie chez Gmail, Yahoo et Hotmail et des opérations de paiement avec des cryptomonnaies ou des cartes prépayées. En outre, le sous-système LPI/Legend vise à déguiser l’origine des données soit en supprimant les métadonnées, soit même en les falsifiant délibérément.

Crystal-2V

Crystal-2V concerne des attaques ciblées contre des infrastructures essentielles, notamment le trafic ferroviaire et aérien, l’électricité et l’approvisionnement en eau.

Selon les « Vulkan Files », il s’agissait d’une simulation, car il n’y a aucune preuve que le projet a été utilisé.

Projet Fraction

Le projet Fraction surveille les activités critiquant le régime à l’intérieur de ses frontières.

En évaluant en masse les posts sur les réseaux sociaux, notamment Facebook, Twitter ainsi que les sites russes VKontakte et Odnoklassniki, des intelligences artificielles (IA) sont déployées pour mettre en évidence les contenus « dangereux ».

[Édité par Anne-Sophie Gayet]