Digital Food

Fin 2018, des pirates informatiques travaillant pour des agences de renseignement occidentales ont fait irruption dans l’entreprise de recherche en ligne russe Yandex, seo web tools déployant un type de malware rare pour espionner les comptes la matière a dit à Reuters.

Le malware, appelé Regin, est utilisé par l’alliance de partage de renseignements « Five Eyes » (Etats-Unis, Grande-Bretagne, Australie, Nouvelle-Zélande et Canada), ont indiqué ces sources. Les agences de renseignement de ces pays ont refusé de commenter.

Les cyberattaques occidentales contre la Russie sont rarement reconnues ou évoquées en public. Il n’a pas été possible de déterminer lequel des cinq pays était à l’origine de l’attaque contre Yandex, ont déclaré des sources en Russie et ailleurs, dont trois avaient une connaissance directe du piratage. La brèche a eu lieu entre octobre et novembre 2018.

Le porte-parole de Yandex, Ilya Grabovsky, a reconnu l’incident dans une déclaration à Reuters, mais a refusé de fournir des détails supplémentaires. « Cette attaque a été détectée très tôt par l’équipe de sécurité de Yandex. Elle a été complètement neutralisée avant que des dégâts ne soient causés », a-t-il déclaré.

La société, largement connue sous le nom de « Google en Russie » pour son éventail de services en ligne, allant de la recherche sur Internet aux courriels et aux réservations de taxis, indique avoir plus de 108 millions d’utilisateurs mensuels en Russie. Elle opère également en Biélorussie, au Kazakhstan et en Turquie.

Les sources qui ont décrit l’attaque à Reuters ont déclaré que les pirates semblaient être à la recherche d’informations techniques pouvant expliquer comment Yandex authentifie les comptes d’utilisateurs. Ces informations pourraient aider une agence d’espionnage à se faire passer pour un utilisateur de Yandex et à accéder à leurs messages privés.

Le piratage de l’unité de recherche et développement de Yandex était destiné à des fins d’espionnage plutôt que de perturber ou de voler de la propriété intellectuelle, ont déclaré les sources. Les pirates ont secrètement maintenu l’accès à Yandex pendant au moins plusieurs semaines sans être détectés, ont-ils déclaré.

Le logiciel malveillant Regin a été identifié comme un outil Five Eyes en 2014 à la suite de révélations de Edward Snowden, ancien fournisseur de l’Agence de sécurité nationale des États-Unis (NSA).

Des reportages de The Intercept, en partenariat avec un journal néerlandais et belge, ont associé une version antérieure de Regin à un piratage de la société de télécommunications belge Belgacom en 2013, affirmant que l’agence britannique d’espionnage gouvernementale Government Communications Headquarters (GCHQ) et la NSA en étaient responsables. À ce moment-là, le GCHQ a refusé de commenter et la NSA a nié toute implication.

Les experts en sécurité disent que l’attribution de cyberattaques peut être difficile en raison des méthodes de dissimulation utilisées par les pirates.

Toutefois, une partie du code Regin détecté sur les systèmes Yandex n’a été utilisée dans aucune cyberattaque antérieure, ont précisé les sources, réduisant ainsi le risque que les attaquants utilisent délibérément des outils de piratage occidentaux connus pour couvrir leurs traces.

Yandex a appelé la société russe de cybersécurité Kaspersky, qui a établi que les attaquants visaient un groupe de développeurs au sein de Yandex, ont déclaré trois sources. Une évaluation privée de Kaspersky, décrite à Reuters, a conclu que des pirates informatiques liés probablement au renseignement occidental avaient violé Yandex en utilisant Regin.

Une porte-parole de Kaspersky a refusé de commenter.
Le bureau du directeur du renseignement national américain a refusé de commenter. Le Conseil de sécurité nationale de la Maison-Blanche n’a pas répondu à une demande de commentaire.

Le Kremlin n’a pas immédiatement répondu à une demande de commentaire de Reuters.
Yandex, société basée à Moscou, une société privée cotée au NASDAQ aux États-Unis et à la Bourse de Moscou, est soumise à un contrôle réglementaire plus strict par le gouvernement russe après l’adoption de la nouvelle loi sur Internet. Herman Gref, ancien ministre russe de l’économie et du commerce, est devenu membre du conseil d’administration de Yandex en 2014.

La société américaine de cybersécurité Symantec a annoncé avoir récemment découvert une nouvelle version de Regin. Symantec a refusé de préciser où cet échantillon avait été découvert, invoquant la confidentialité du client.

« Regin est le joyau des infrastructures d’attaque utilisées pour l’espionnage. Son architecture, sa complexité et ses capacités sont uniques », a déclaré à Reuters Vikram Thakur, directeur technique de Symantec Security Response. « Nous avons vu différents composants de Regin au cours des derniers mois. »

« Sur la base de la victimologie et des investissements nécessaires pour créer, maintenir et exploiter Regin, nous pensons qu’il existe au mieux une poignée de pays qui pourraient être à l’origine de son existence », a déclaré M. Thakur. « Regin est revenu sur le radar en 2019. »