Pendant des années, les organisations cybercriminelles russes ont agi dans une relative impunité. Le Kremlin et les forces de l’ordre locales ont largement fermé les yeux sur les attaques de rançongiciel (des logiciels espions qui permettent aux hackers d'exiger des rançons aux entreprises contre les données volées) tant qu’elles ne visaient pas les entreprises russes. Malgré la pression directe exercée sur Vladimir Poutine pour qu’il s’attaque à ces groupes de rançongiciel, ceux-ci restent intimement liés aux intérêts de la Russie. Une récente fuite provenant de l’un de ces gangs les plus connus donne un aperçu de la nature de ces liens. Mais aussi de leur fragilité.
Ce cache contenant 60 000 messages de chats et autres fichiers, provenant du célèbre groupe de rançongiciel Conti, montre l’étendue du réseau de ces hackers en Russie. Mis pour la première fois en ligne fin février par un chercheur en cybersécurité ukrainien anonyme qui a infiltré le groupe, les documents permettent d’appréhender la façon dont Conti opère au quotidien, et l’ampleur de ses ambitions en matière de cryptomonnaie. Ils mettent aussi en lumière les liens potentiels entre les membres de Conti et le Service fédéral de sécurité (FSB), ainsi que leur conscience aiguë des opérations des hackers militaires soutenus par le gouvernement russe.
Tandis que le monde s’efforçait d'endiguer les premières vagues de la pandémie de Covid-19, en juillet 2020, les cybercriminels du monde entier ont eux aussi reporté leur attention sur la crise sanitaire. Le 16 juillet, les gouvernements du Royaume-Uni, des États-Unis et du Canada ont publiquement accusé les pirates militaires russes, soutenus par l’État, d’avoir tenté de dérober la propriété intellectuelle liée aux premières tentatives de vaccins. Le groupe de hackers Cozy Bear, également connu sous le nom d’Advanced Persistent Threat 29 (APT29), a lancé plusieurs attaques sur des entreprises pharmaceutiques et des universités par le biais de logiciels malveillants modifiés et de failles connues, selon les trois gouvernements.
Fuites
Quelques jours plus tard, les leaders de Conti évoquaient le travail de Cozy Bear et mentionnaient ses attaques par ransomware. Dans les documents leakés, Stern, tête pensante de Conti, et Professor, autre membre important du gang, parlent également la création d’un bureau dédié aux « sujets gouvernementaux ». Dans la même conversation, Stern déclare avoir quelqu’un « d’externe » payant le groupe (sans toutefois qu’il ne soit précisé à quelles fins) et parle de se concentrer sur les cibles de cette source. « Ils veulent beaucoup de trucs sur le Covid en ce moment, dit Professor à Stern. Les cozy bears sont déjà en train d’explorer la liste. »
« Ils font référence à la mise en place d’un certain projet à long terme et semblent penser qu’ils [la partie externe] les aideraient à l’avenir », explique Kimberly Goody, directrice de l’analyse cybercriminelle de la société de sécurité Mandiant. « Nous pensons qu’il s’agit d’une référence au fait que si des poursuites devaient être engagées à leur encontre, cette partie externe pourrait les aider. » Goody souligne que le groupe mentionne également l’avenue Liteyny à Saint-Pétersbourg, où se trouvent les bureaux du FSB.
Si les preuves des liens directs de Conti avec le gouvernement russe ne sont pas formelles, les activités du gang continuent à coller aux intérêts nationaux. Selon Allan Liska, analyste de la société de sécurité Recorded Future, « l’impression qui se dégage des conversations divulguées est que les dirigeants de Conti ont compris qu’ils étaient autorisés à opérer tant qu’ils suivaient les directives tacites du gouvernement russe ». « Il semble qu’il y ait eu au moins quelques lignes de communication entre le gouvernement russe et les dirigeants de Conti. »
En avril 2021, Mango, un cadre clé de Conti qui aide à organiser le groupe, interrogeait Professor : « Est-ce qu’on travaille sur la politique ? » Lorsque Professor demande plus de détails, Mango lui soumet les messages d’une personne utilisant le pseudo JohnyBoy77 – tous les membres du gang en utilisent afin de cacher leurs identités. Les deux hommes échangent sur des personnes qui « travaillent contre la Fédération de Russie » et de l’interception potentielle d’informations les concernant. JohnyBoy77 demande si Conti peut accéder aux données d’une personne liée à Bellingcat, le groupe de journalistes d’investigation open source qui a exposé aussi bien des hackers russes que des réseaux secrets d’assassins.
Grande Russie
JohnyBoy77 cherchait tout particulièrement des informations liées à l’enquête de Bellingcat sur l’empoisonnement du leader de l’opposition russe Alexeï Navalny. Il pose des questions sur les dossiers de Bellingcat sur Navalny, évoque l’accès aux mots de passe d’un membre de Bellingcat et mentionne le FSB. Suite aux révélations de ces conversations au sein de Conti, le directeur exécutif de Bellingcat, Christo Grozev, a tweeté que le groupe avait déjà reçu une information selon laquelle le FSB avait discuté avec un groupe de cybercriminels au sujet du piratage de ses contributeurs. « Je veux dire, on est des patriotes ou quoi ? » Mango demande à Professor à propos des fichiers. « Évidemment qu’on est des patriotes », répond ce dernier.
Le patriotisme russe est une constante au sein du groupe Conti, dont beaucoup de membres sont basés dans le pays. Toutefois, le groupe a une portée internationale : il compte des membres en Ukraine et en Biélorussie, et entretient des liens avec des membres plus éloignés encore. Tous ne partagent pas le même point de vue sur l’invasion de l’Ukraine par la Russie, et la guerre est un sujet de discussion entre eux. « La mondialisation de ces groupes de rançongiciel fait que ce n’est pas parce que la direction de Conti s’aligne sur la politique russe que les affiliés voient les choses de la même manière », précise Allan Liska. Dans une série de conversations remontant à août 2021, Spoon et Mango discutent de leurs expériences en Crimée. La Russie a envahi la Crimée et annexé la région à l’Ukraine en 2014, une opération à propos de laquelle les dirigeants occidentaux disent regretter de ne pas avoir fait davantage pour l’empêcher. Dans ces échanges, les deux hackers vantent la beauté de la région, mais Spoon déplore ne pas l’avoir visité depuis une dizaine d’années. « Il va falloir que j’y retourne, j’irai l’année prochaine », écrit Spoon. « La Crimée russe. »
Si les membres du groupe font bien référence à des intérêts ou des agences gouvernementales russes, il est peu probable qu’ils travaillent pour le compte d’officiels. Les principaux membres de Conti ont probablement des contacts, mais il y a très peu de chances que codeurs et programmeurs de base soient aussi bien connectés. « Je pense qu’un sous-ensemble d’acteurs pourraient avoir ces relations directes, mais pas le groupe dans sa totalité », dit Goody.
Malgré la révélation des fichiers Conti les 27 et 28 février, le groupe est demeuré actif. « Ils ont quand même réagi », affirme Jérôme Segura, directeur du renseignement sur les menaces de la société de sécurité Malwarebytes. « On peut voir sur les chats qu’ils fermaient certaines choses et passaient en privé. Mais pas de vrai bouleversement des habitudes. » Le groupe a continué à publier les noms et les fichiers des victimes de ransomware sur son site Web dans les semaines qui ont suivi la fuite.
Conti poursuit le piratage, alors même que les enquêteurs tâchent d’établir l’identité des membres du groupe en exploitant les détails contenus dans les documents leakés. Mais la plus grande menace pour le groupe, cependant, pourrait venir du gouvernement russe lui-même. Le 14 janvier, la Russie a pris sa mesure la plus importante à ce jour contre un gang de ransomware. Le FSB a arrêté 14 membres du groupe REvil – pourtant en sommeil depuis plusieurs mois – après avoir reçu des informations de responsables américains. « Tant que les autorités russes estiment que Conti peut encore leur être utile, aucune mesure ne sera prise à l’encontre de ses dirigeants, si Conti est en mesure de poursuivre ses activités, voire de se réincarner, le groupe ne sera pas inquiété, prévoit Allan Liska. Si des mesures devaient être prises, elles seraient probablement similaires à celles à l'encontre des membres de REvil : une série d’arrestations bien visibles, pour ensuite relâcher discrètement la plupart des personnes arrêtées un ou deux mois plus tard. »
Difficile pour l’heure d’établir si les autorités prendront ce type de mesures contre les membres de Conti. La paranoïa de ces derniers ne date pas d’hier et précède la divulgation des détails les concernant. En novembre 2021, Kagas, l’un des membres de l’organisation, envoyait un message confus à Stern : « Nous pensons avoir été suivis, des voitures inconnues stationnaient dans la cour, deux gus étaient assis dans la bagnole. » Kagas y faisait référence à une affaire judiciaire et à la suspension de ses activités jusqu’au terme de celle-ci. « Les avocats disent qu’il vaut mieux rester tranquilles jusqu’au 13, et ne rien faire, disait Kagas. On fait profil bas. Ensuite on avisera. »
