Un groupe d’hacktivistes pro-russes affirme avoir violé le réseau d’une entreprise canadienne de gazoduc en février et causé des dommages qui ont entraîné une perte de profits, selon un document trouvé parmi une tranche d’évaluations classifiées des renseignements américains divulgués en ligne récemment.
Dans le briefing divulgué, vu par Zero Day, des acteurs du groupe de piratage russe connu sous le nom de Zarya ont partagé des captures d’écran avec un officier du FSB le 25 février prétendant montrer leur accès à l’installation canadienne et indiquant qu’ils avaient la capacité d’augmenter la pression de la valve, désactiver alarmes et déclencher un arrêt d’urgence de l’installation. Le briefing du renseignement américain n’a pas identifié la victime canadienne, écrivant que la capture d’écran était d’une “station de distribution de gaz non spécifiée”.
Le briefing indique que le groupe de piratage “recevait des instructions” d’une personne présumée être un officier du FSB – qui leur a ordonné de maintenir leur accès au réseau – et que les pirates étaient en “attente” pour de nouvelles instructions du FSB.
Le document indique que l’officier du FSB “prévoyait qu’une opération réussie provoquerait une explosion” à la station de distribution de gaz et que le FSB “surveillait les reportages canadiens à la recherche d’indications d’explosion”. Mais on ne sait pas ce que les pirates ont fait à l’installation ou prévu de faire. Ils ont affirmé qu’ils avaient déjà causé « des dommages suffisants » à l’entreprise canadienne « pour causer une perte de profit à l’entreprise », mais leur intention n’était « pas de causer des pertes de vie » mais seulement « une perte de revenus pour les Canadiens ».
Il n’est pas clair si les autorités américaines ont jamais vérifié les allégations ou identifié et avisé l’entreprise canadienne en question. Zero Day n’a pas été en mesure de vérifier de manière indépendante les affirmations.
Le Centre canadien de la sécurité des communications, qui fonctionne comme la Cybersecurity and Infrastructure Security Agency aux États-Unis pour aider à protéger les infrastructures critiques, a refusé de commenter.
“En général, nous ne commentons pas les incidents de cybersécurité spécifiques, et nous ne confirmons pas non plus les entreprises ou les partenaires d’infrastructures critiques avec lesquels nous travaillons”, a écrit une porte-parole dans un e-mail. “Nous ne commentons pas non plus, que ce soit pour confirmer ou infirmer, les renseignements qui auraient été divulgués.”
Une source du gouvernement américain qui suit de près les incidents d’infrastructures critiques aux États-Unis a déclaré avoir entendu parler il y a quelque temps que quelque chose s’était produit dans une installation gazière canadienne, mais n’était au courant de personne confirmant qu’un «impact physique» s’était produit.
“Les gens cherchaient, mais je ne sais pas s’ils ont jamais eu la confirmation que quelque chose s’était réellement passé”, a déclaré la source à Zero Day.
La révélation apparaît dans une cache d’environ 50 documents que quelqu’un a postés sur une chaîne de jeu Discord début mars, mais qui n’ont fait les gros titres que la semaine dernière après le New York Times les a obtenus et publiés une histoire à propos d’eux. Les documents révèlent un large éventail d’informations que la communauté du renseignement américain et ses partenaires ont recueillies sur les plans de guerre de la Russie en Ukraine – y compris des cartes détaillées – et sur les vulnérabilités de la défense de l’Ukraine. Les documents révèlent également des informations sur d’autres pays, comme le programme nucléaire iranien et les essais de missiles de la Corée du Nord.
Des responsables du Pentagone et des agences de sécurité nationale ont indiqué qu’ils pensaient que les documents étaient authentiques et ont lancé des enquêtes sur les fuites. Aric Toler, du groupe de renseignement open source Bellingcat, dit les fuites est apparu début mars sur une chaîne Discord populaire parmi les personnes qui jouent au jeu informatique Minecraft et sur une chaîne Discord pour les fans d’un YouTuber qui s’appelle WowMao. Mais certains des documents ont peut-être été publiés sur d’autres chaînes Discord en janvier. Une fois apparus sur la chaîne Minecraft, ils ont migré vers le forum du groupe 4Chan, puis vers les chaînes pro-russes Telegram et Twitter, avant que les journalistes du Fois écrit à leur sujet.
La révélation de la prétendue cyberattaque au Canada apparaît en seulement deux paragraphes sur une page qui fournit de brefs résumés des renseignements sur d’autres pays et régions. Le document indique que les informations provenaient du renseignement électromagnétique (SIGINT) – indiquant que les États-Unis ou un partenaire du renseignement d’un autre pays ont intercepté les communications entre le groupe de piratage et l’officier du FSB.
L’auteur non identifié du rapport de renseignement américain note dans l’article que si les pirates réussissaient à provoquer une explosion, “ce serait la première fois que l’IC observe un groupe de piratage pro-russe exécuter une attaque perturbatrice contre les systèmes de contrôle industriels occidentaux”. .”
Mais il n’est pas clair que le groupe Zarya ait la capacité de s’engager dans des opérations destructrices contre des infrastructures critiques telles que décrites.
Lesley Carhart, directrice de la réponse aux incidents pour l’Amérique du Nord à la société de cybersécurité industrielle Dragos, a déclaré que les pirates informatiques avaient compromis les installations pétrolières et gazières canadiennes dans le passé – y compris les attaques de rançongiciels qui ont affecté les opérations – mais a exprimé son scepticisme quant à la capacité de Zarya à provoquer une explosion .
“Combien de fois les choses sont-elles gonflées parce que quelqu’un veut bien paraître à son patron?” dit-elle. “Il y a un très grand écart entre avoir accès à un contrôleur comme une IHM et être capable de provoquer un impact physique, cinétique et intentionnel dans le monde. Cela nécessite une connaissance de tant d’autres choses qui se passent dans ce processus compliqué – cela nécessite une compréhension des contrôles en place, à la fois humains et numériques, ainsi que du processus et de la façon dont il est configuré.
Jeffrey Bardin, responsable du renseignement chez Treadstone 71, dit qu’il n’a jamais vu Zarya faire des déclarations similaires sur le piratage de systèmes de contrôle industriels auparavant. Mais il note que Zarya est affilié à un autre groupe de piratage russe appelé XakNet, qui, selon certains, est soutenu par l’agence de renseignement militaire russe – le GRU. Le GRU était responsable d’attaques sophistiquées qui ont emporté des parties de Le réseau électrique ukrainien en 2015 et 2016.
“Mon avis. Zarya est XakNet et en tant que tel XakNet est très capable [of conducting destructive attacks against control systems],” il a dit.
Mais Daniel Smith, responsable de la recherche sur le renseignement sur les cybermenaces pour Radware, a déclaré à Zero Day que si les affirmations étaient vraies, cela indiquerait un changement significatif dans les tactiques de Zarya qui se sont concentrées jusqu’à présent sur les DDoS et les fuites.
“Si Zarya piratait une compagnie gazière canadienne et acquérait la capacité d’apporter des changements à l’environnement, cela signalerait une escalade des tactiques de la part du groupe menaçant.”
Dans un avis plus tôt cette année Radware a déclaré que Zarya avait étendu ses capacités, mais n’a pas mentionné qu’il se diversifiait dans les systèmes de contrôle industriels.
Le groupe, dont le nom vient du mot russe signifiant « aube », serait un ramification d’un autre groupe de piratage appelé Killnet qui a utilisé des attaques DDoS et d’autres attaques contre des pays qui soutiennent l’Ukraine dans sa défense contre l’agression russe. Killnet a engendré un certain nombre d’autres groupes de piratage au cours de l’année dernière, qui travaillent tous pour soutenir la Russie et les pays cibles travaillant contre la Russie pendant la guerre, et Zarya a commencé comme une unité des forces spéciales sous Killnet en mars 2022 et s’est principalement engagée dans des attaques DDoS. et les fuites de données volées.
Dans un annonce de recrutement publié l’année dernière, Zarya a déclaré qu’il visait les services de l’État – tels que les agences militaires et de renseignement – et “tous les objets stratégiques possibles de l’Ukraine”, y compris les usines, les services de transport, les aérodromes, les grandes organisations administratives et politiques, les centres industriels et les centres énergétiques. Mais le groupe a déclaré que son “objectif n’est pas le sabotage d’objets, mais l’espionnage industriel”.
Le groupe a insisté sur le fait qu’ils ne sont pas des terroristes et qu’ils “ne mènent aucune attaque contre des entreprises vitales”.
« Nous ne sabotons pas le travail des services dont dépend la vie de la population civile : ambulance, pompiers et même police. Nous ne publions pas les données des citoyens ordinaires dans le domaine public, nous n’avons jamais volé et ne volerons pas l’argent des comptes des fondations caritatives.
Les entreprises de sécurité qui aident l’Ukraine pendant la guerre pourraient être considérées comme des participants au conflit
Viasat Hack “n’a pas” eu un impact énorme sur les communications militaires ukrainiennes, selon un responsable
Ce que cela signifie que les États-Unis mènent des cyberopérations offensives contre la Russie
Ce que nous savons et ne savons pas sur les cyberattaques contre l’Ukraine
Des dizaines d’ordinateurs en Ukraine effacés par des logiciels malveillants destructeurs lors d’une attaque coordonnée
Les pirates se trouvaient dans les systèmes ukrainiens des mois avant le déploiement de Wiper
Si vous aimez cette histoire, n’hésitez pas à la partager avec d’autres.
Si vous souhaitez recevoir les futurs articles directement dans votre boîte de réception, vous pouvez vous abonner gratuitement ou devenir un abonné payant pour aider à soutenir mon travail si vous le trouvez utile :
Ou si vous souhaitez offrir un abonnement cadeau à quelqu’un d’autre :
