Par Moon of Alabama

De plus en plus de cybercrimes, attribués à la Russie, seraient venus d’ailleurs

Par Moon of Alabama − Le 27 janvier 2021

Aujourd’hui, la police européenne a détruit le réseau de robots Emotet :

Découvert pour la première fois en 2014 comme un cheval de Troie bancaire assez banal, Emotet a évolué au fil des ans pour devenir l’un des services de cybercriminalité les plus professionnels et les plus résilients au monde. Il est devenu une solution incontournable pour les cybercriminels.

Son infrastructure a été un moyen d’accéder aux systèmes cibles, ce qui a été fait via un processus de courrier électronique de spam automatisé qui a livré le malware Emotet à ses victimes via des pièces jointes malveillantes, souvent des avis d’expédition, des factures et, depuis le printemps dernier, des informations ou des offres Covid-19. Si elles étaient ouvertes, les victimes étaient promues pour activer les macros qui permettaient à un code malveillant de s’exécuter et d’installer Emotet.

Cela fait, les opérateurs d’Emotet ont ensuite vendu l’accès à d’autres groupes cybercriminels comme un moyen d’infiltrer leurs victimes, de voler des données et d’installer des logiciels malveillants et des ransomwares [logiciels de rançonnement]. Les opérateurs de TrickBot et Ryuk étaient parmi les nombreux utilisateurs d’Emotet.

Jusqu’à un quart de la cybercriminalité courante a été perpétrée via le réseau Emotet. Le fermer est un grand succès.

Wikipédia a faussement affirmé qu’Emotet était basé en Russie :

Emotet est une souche de malware et d’opérations de cybercriminalité basée en Russie. [1] Le malware, également connu sous le nom de Geodo et Mealybug, a été détecté pour la première fois en 2014 [2] et reste actif, considéré comme l’une des menaces les plus répandues de 2019. [3]

Cependant, le rapport du journal Hindu, utilisé comme source à l’allégation contre la Russie sous la référence [1] dit seulement :

Le malware serait exploité depuis la Russie et son opérateur est surnommé Ivan par les chercheurs en cybersécurité.

« On dit qu’il est exploité depuis la Russie » est une formulation plutôt faible et ne devrait pas être utilisé comme source pour les accusations. C’est aussi complètement faux.

Le centre d’exploitation d’Emotet a été trouvé en Ukraine. Aujourd’hui, la police nationale ukrainienne en a pris le contrôle lors d’un raid (vidéo). La police a trouvé des dizaines d’ordinateurs, une centaine de disques durs, environ 50 kilogrammes de lingots d’or (prix actuel ~ 60 000 $ / kg) et de grosses sommes d’argent dans plusieurs devises.

Depuis la publication en 2016 des courriels internes de la Direction nationale du parti démocrate (DNC) étasunien et de la campagne Clinton, l’attribution d’intrusions informatiques à la Russie est devenue une caractéristique de la propagande standard usuelle. Mais en aucun cas, il n’y a eu de preuves que la Russie était responsable d’un piratage.

L’intrusion profonde récemment découverte dans les entreprises américaines et les réseaux gouvernementaux a utilisé une version manipulée du logiciel de gestion de réseau Orion de SolarWinds. Le borg [l’État profond] de Washington a immédiatement attribué le piratage à la Russie. Ensuite, le président Trump l’a attribué à la Chine. Mais aucune de ces affirmations n’était étayée par des faits ou des preuves connues.

Le piratage était extrêmement complexe, bien géré et doté en ressources, et nécessitait probablement des connaissances d’initiés. Pour ce professionnel de l’informatique, il ne «sentait» ni le russe ni le chinois. Il est beaucoup plus probable, comme le constate Whitney Webb, qu’Israël était derrière cela :

Le code implanté utilisé pour exécuter le hack a été directement injecté dans le code source du logiciel Orion de SolarWinds. Ensuite, la version modifiée et boguée du logiciel a été «compilée, signée et livrée via le système de gestion des versions de correctif logiciel existant», selon les rapports. Cela a conduit les enquêteurs et observateurs américains à conclure que les auteurs avaient un accès direct au code de SolarWinds car ils avaient «une grande connaissance du logiciel». Bien que la manière dont les attaquants ont eu accès à la base du code d’Orion n’ait pas encore été déterminée, une possibilité envisagée par les enquêteurs est que les attaquants travaillaient avec des employés d’un sous-traitant ou d’une filiale de SolarWinds. …
Bien que certains sous-traitants et filiales de SolarWinds fassent actuellement l’objet d’une enquête, l’un d’eux, Samanage, reste à l’étude, mais devrait être investigué. Samanage, acquis par SolarWinds en 2019, a non seulement obtenu un accès automatique à Orion juste au moment où le code malveillant a été inséré pour la première fois, mais la société entretient des liens étroits avec les services de renseignement israéliens et un réseau de sociétés de capital-risque associées à de nombreux scandales d’espionnage israéliens qui ont visé le Gouvernement des États-Unis. …
Samanage propose ce qu’elle décrit comme «une solution IT Service Desk». Elle a été acquise par SolarWinds afin que les produits de Samanage puissent être ajoutés au portefeuille des opérations informatiques de SolarWinds. Bien que les reportages américains et les communiqués de presse de SolarWinds indiquent que Samanage est basée à Cary, en Caroline du Nord, ce qui implique qu’il s’agit d’une société américaine, Samanage est en fait une société israélienne. Elle a été fondée en 2007 par Doron Gordon, qui avait travaillé auparavant pendant plusieurs années au MAMRAM, l’unité centrale informatique de l’armée israélienne. …
Plusieurs mois après l’annonce de l’acquisition, en novembre 2019, Samanage, renommée SolarWinds Service Desk, est devenue une fonctionnalité standard du logiciel Orion de SolarWinds, alors que l’intégration de Samanage et Orion était auparavant facultative depuis l’annonce de l’acquisition en avril de cette année. Cela signifie que l’intégration complète a probablement été rendue standard en octobre ou novembre. Il a depuis été rapporté que les auteurs du récent piratage avaient eu accès aux réseaux des agences fédérales américaines et des grandes entreprises à peu près au même moment. L’intégration automatique de Samanage dans Orion était une modification majeure apportée au logiciel désormais compromis au cours de cette période.

La National Security Agency des États-Unis dispose de moyens pour découvrir qui était derrière le piratage de SolarWinds. Mais si Israël est le vrai coupable, personne ne sera autorisé à le dire publiquement.  Un général ou officiel US de haut rang s’envolera pour Israël et lira à son homologue l’acte d’accusation. Israël l’ignorera comme il l’a fait à chaque fois qu’il a été surpris en train d’espionner le gouvernement américain.

Avec plus de la moitié des politiciens de Washington dans sa poche, il n’a aucune raison de craindre des conséquences.

Moon of Alabama

Traduit par jj, relu par Wayan pour le Saker Francophone

Source : Le Saker
https://lesakerfrancophone.fr/…