Le “punching-ball” n’est pas encore usé …


Le New York Times blâme la Russie pour une cyberattaque commise par un pirate britannique


Par Moon of Alabama -− Le 14 mai 2020

Le New York Times poursuit sa campagne russophobe avec un rapport sur une ancienne cyberattaque contre le Parlement allemand qui visait également le bureau de la chancelière Angela Merkel.

Selon le NYT, Merkel est «outrée» par le piratage russe mais a du mal à répondre :

La patience avec le président Vladimir Poutine s'épuise à Berlin. Mais l'Allemagne a besoin de l'aide de la Russie sur plusieurs fronts géopolitiques, de la Syrie à l'Ukraine.

La correspondante du NYT à Berlin, Katrin Bennhold, écrit :

Mercredi, la chancelière fédérale Angela Merkel a condamné une cyberattaque "scandaleuse" des services de renseignement étrangers russes contre le Parlement allemand, y compris son compte de messagerie personnel. La Russie, a-t-elle dit, poursuit «une stratégie de guerre hybride».

Mais quand on lui a demandé comment Berlin avait l'intention de réagir face aux récentes révélations impliquant les Russes, Mme Merkel a été moins ouverte.

"Nous nous réservons toujours le droit de prendre des mesures", a-t-elle déclaré au Parlement, puis a immédiatement ajouté : "Néanmoins, je continuerai à œuvrer pour de bonnes relations avec la Russie, car je pense qu'il y a tout lieu de poursuivre ces efforts diplomatiques."

Cette attaque présumée s’est produite en 2015. L’attribution à la Russie est une galéjade, comme toutes les autres cyberattaques qui lui sont imputées.

Les responsables du renseignement soupçonnaient depuis longtemps des agents russes d'être à l'origine de l'attaque, mais il a fallu cinq ans pour collecter les preuves, qui ont été présentées dans un rapport remis au bureau de Mme Merkel la semaine dernière.

Selon des responsables, le rapport a retracé l'attaque vers le même groupe de hackers russes qui avait ciblé le Parti Démocrate lors de la campagne électorale présidentielle américaine de 2016.

C’est vraiment drôle car nous avons récemment appris que la société qui a enquêté sur l’intrusion présumée dans la direction du parti Démocrate US (DNC), CrowdStrike, n’avait trouvé aucune preuve, zéro, qu’un groupe de hacker russe avait ciblé le DNC ou que des courriels du DNC avaient été exfiltrés sur Internet :

CrowdStrike, la société de cybersécurité privée qui a d'abord accusé la Russie de pirater les courriels du Parti Démocrate, et a ensuite été une source critique pour les responsables du renseignement américain dans l'enquête Trump-Russie - le Russiagate - qui a duré des années, a reconnu au Congrès, il y a plus de deux ans, qu'elle n'avait pas de preuve concrète que des pirates russes ont volé les courriels du serveur du Comité national démocrate. ...

Le président de CrowdStrike, Henry Shawn, a personnellement dirigé la recherche et l'analyse "médico-légale" du serveur DNC après avoir été averti d'une violation fin avril 2016 ; son travail a été payé par le DNC, qui a refusé de remettre son serveur au FBI. Interrogé sur la date à laquelle de prétendus pirates informatiques russes ont volé les données du serveur du DNC, Henry a déclaré que CrowdStrike ne savait pas en fait si un tel vol avait même eu lieu : "Nous ne disposions pas de preuves concrètes que les données aient été exfiltrées [par voie électronique] du DNC, mais nous avons des indices qu'elles ont été exfiltré", a déclaré Henry.

Les courriels du DNC ont probablement été volés par un administrateur de réseau local, Seth Rich, qui les a fournis à Wikileaks avant d’être tué lors d’un “cambriolage” suspect au cours duquel rien n’a été volé.

L’attribution du piratage des courriels du DNC à la Russie ne repose sur rien d’autre que des rumeurs de renseignement et des allégations de CrowdStrike pour lesquelles il n’y avait aucune preuve. Comme il n’y a aucune preuve que le DNC a été attaqué par un cyber-groupe russe, qu’est-ce que cela signifie pour l’attribution à la Russie de l’attaque contre le Bundestag allemand au même groupe ?

Alors que le NYT mentionne également que la NSA a effectivement espionné les appels téléphoniques privés de Merkel, il préfère braquer le projecteur sur la Russie :

En tant que telle, la démocratie allemande a été la cible d’opérations de renseignement russes très différentes, selon des responsables. En décembre 2016, 900 000 Allemands ont perdu l'accès à Internet et aux services téléphoniques à la suite d'une cyberattaque remontant à la Russie.

Et bien, hummm! Non…

Cette attaque de masse contre les fournisseurs d’accès à Internet , qui a d’ailleurs eu lieu en novembre 2016 et non en décembre, a été menée avec le ver Mirai :

Plus de 900 000 clients du FAI allemand Deutsche Telekom (DT) ont été mis hors ligne cette semaine après que leurs routeurs Internet ont été infectés par une nouvelle variante d'un ver informatique appelé Mirai. Le malware s'est déplacé à l'intérieur des routeurs via une vulnérabilité récemment découverte dans une fonctionnalité qui permet aux FAI de mettre à niveau à distance le firmware des appareils. Mais le nouveau logiciel malveillant Mirai désactive cette fonctionnalité une fois qu'il a infesté un appareil, ce qui complique les efforts de nettoyage et de restauration de DT. ...

Cette nouvelle variante de Mirai s'appuie sur le code source des logiciels malveillants publié fin septembre. Cette fuite est survenue un peu plus d'une semaine après qu'un botnet (robot) basé sur Mirai a été utilisé dans une attaque de taille record qui a mis KrebsOnSecurity hors ligne pendant plusieurs jours. Depuis lors, des dizaines de nouveaux botnets Mirai sont apparus, tous en concurrence pour un pool limité de systèmes IoT - Internet des Objets -vulnérables qui peuvent être infectés.

L’attaque n’a pas été attribuée à la Russie mais à un Britannique qui a proposé des attaques en guise de service payant. Il a été arrêté en février 2017 :

Un homme de 29 ans a été arrêté à l'aéroport de Luton par la National Crime Agency (NCA) du Royaume-Uni dans le cadre d'une attaque massive sur Internet qui a perturbé les services téléphoniques, télévisuels et Internet en Allemagne en novembre dernier. Comme s'en rappelleront  les lecteurs réguliers de We Live Security, plus de 900 000 clients haut débit de Deutsche Telekom ont été mis hors ligne en novembre dernier alors qu'une tentative de piratage de leurs routeurs par un botnet destructeur aurait été tentée...

La NCA a arrêté le britannique en vertu d'un mandat d'arrêt européen émis par l'Office fédéral de la police criminelle (BKA), qui a décrit l'attaque comme une menace pour l'infrastructure de communication nationale de l'Allemagne.

Selon les procureurs allemands, l'homme aurait proposé de vendre clandestinement l'accès au botnet sur l'ordinateur. Les agences envisagent d'extrader l'homme vers l'Allemagne, où - s'il est reconnu coupable - il pourrait encourir jusqu'à dix ans d'emprisonnement.

Le hacker britannique, Daniel Kaye, a plaidé coupable devant le tribunal et a été condamné à 18 mois de prison :

Pendant le procès, Daniel a admis qu'il n'avait jamais voulu que les routeurs cessent de fonctionner. Il voulait seulement les contrôler silencieusement afin de pouvoir les utiliser dans le cadre d'un botnet DDoS [qui sature le serveur, NdT] pour augmenter sa puissance de feu. Comme discuté précédemment, il a également avoué avoir été payé par des concurrents pour abattre Lonestar.

En août 2017, Daniel a été extradé vers le Royaume-Uni, pour faire face à des accusations d'extorsion, après avoir tenté de faire chanter les banques Lloyds et Barclays. Selon la presse, il a demandé aux Lloyds de payer environ 75 000 £ en bitcoins pour que l'attaque soit annulée.

L’attaque Mirai est largement connue pour avoir été attribuée à Kaye. Le cas a été longuement discuté. Le journaliste de sécurité informatique Brian Krebs, qui a également été attaqué par un réseau de robots Mirai, a écrit plusieurs articles à ce sujet. Il n’a jamais été «retracé en Russie» ou attribué à quelqu’un d’autre qu’à Daniel Kaye.

En outre, Bennhold, la journaliste du NYT, parle d’un “service de renseignement étranger de la Russie, connu sous le nom de G.R.U.”. Le véritable service de renseignement étranger russe est le SVR. L’agence de renseignement militaire de la Russie s’appelait autrefois GRU mais a été renommée GU.

Le New York Times vient d’accuser la Russie d’avoir piraté l’Allemagne à partir d’un dossier vide. L’article entier a été publié sans même la recherche la plus élémentaire et la vérification des faits.

Il semble que pour le Times, tout peut être imputé à la Russie, indépendamment de ce que disent les faits.

Moon of Alabama

Traduit par jj, relu par Wayan pour le Saker Francophone

   Envoyer l'article en PDF