La Russie est en train de perdre une guerre contre les hackers

La Russie est connue pour son armée de hackers, mais depuis le début de son invasion de l’Ukraine, des dizaines d’organisations russes – y compris des agences gouvernementales, des sociétés pétrolières et gazières et des institutions financières – ont été piratées, avec des fuites de téraoctets de données volées sur Internet.

Distributed Denial of Secrets, le collectif de transparence qui est surtout connu pour sa publication en 2020 de 270 gigaoctets de données des forces de l’ordre américaines (au milieu des manifestations de justice raciale après le meurtre de George Floyd), est devenu de facto le foyer des ensembles de données piratés de Russie. Les ensembles de données sont soumis à DDoSecrets principalement par des pirates anonymes, et ces ensembles de données sont ensuite mis à la disposition du public sur le site Web du collectif et distribués à l’aide de BitTorrent. (Je suis conseiller chez DDoSecrets).

“Le flot de données russes a entraîné de nombreuses nuits blanches, et c’est vraiment accablant”, a déclaré Emma Best, co-fondatrice de DDoSecrets, à The Intercept via une application de messagerie cryptée. « Au cours de ses 10 premières années, WikiLeaks a prétendu avoir publié 10 millions de documents. En moins de deux mois depuis le début de l’invasion, nous avons publié plus de 6 millions de documents russes – et ça en a vraiment l’air.

Après avoir reçu un ensemble de données, DDoSecrets organise et compresse les données ; il commence ensuite à distribuer les données à l’aide de BitTorrent pour la consommation publique, les rend publiques et aide les journalistes d’un large éventail de salles de rédaction à y accéder et à en faire rapport. DDoSecrets a publié environ 30 ensembles de données piratés en provenance de Russie depuis le début de son invasion de l’Ukraine fin février.

La grande majorité des sources qui ont fourni les données russes piratées semblent être des personnes anonymes, dont beaucoup s’identifient comme faisant partie du mouvement hacktiviste anonyme. Certaines sources fournissent des adresses e-mail ou d’autres informations de contact dans le cadre des données sous-évaluées, et certaines, comme Réseau Bataillon 65ont leur propre présence sur les réseaux sociaux.

Pourtant, avec autant d’ensembles de données soumis par des pirates anonymes, il est impossible d’être certain de leurs motivations ou même s’ils sont vraiment des hacktivistes. Par exemple, en 2016, des pirates informatiques ont compromis le réseau du Comité national démocrate et divulgué des e-mails volés à WikiLeaks dans le but de nuire à la campagne présidentielle d’Hillary Clinton. Guccifer 2.0, le pirate informatique responsable, prétendait être un acteur solitaire, mais s’est révélé plus tard être une invention du GRU, l’agence de renseignement militaire russe.

Pour cette raison, les récents ensembles de données russes publiés par DDoSecrets incluent une clause de non-responsabilité : “Cet ensemble de données a été publié au cours de la préparation, au milieu ou à la suite d’une cyberguerre ou d’une guerre hybride. Par conséquent, il existe un risque accru de logiciels malveillants, d’arrière-pensées et de données altérées ou implantées, ou de faux drapeaux/faux personnages. En conséquence, nous encourageons les lecteurs, les chercheurs et les journalistes à faire davantage attention aux données. »

Les hacks commencent en février

Le 26 février, deux jours après le début de l’invasion russe, DDoSecrets a publié 200 gigaoctets de courriels du fabricant d’armes biélorusse Tetraedr, soumis par le personnage hacktiviste Anonymous Liberland et la Pwn-Bär Hack Team. La Biélorussie est un proche allié de la Russie dans sa guerre contre l’Ukraine. Un message publié avec l’ensemble de données annonçait “#OpCyberBullyPutin”.

Le 25 février, le célèbre gang de rançongiciels russe connu sous le nom de Conti a publiquement exprimé son soutien à la guerre de la Russie, et deux jours plus tard, le 27 février, un chercheur en sécurité ukrainien anonyme qui avait piraté l’infrastructure interne de Conti a divulgué deux ans de journaux de discussion Conti, ainsi que documentation de formation, outils de piratage et code source des pirates criminels. “Je ne peux rien tirer, mais je peux me battre avec un clavier et une souris”, a déclaré le chercheur anonyme à CNN le 30 mars avant de quitter l’Ukraine en toute sécurité.

Début mars, DDoSecrets a publié 817 gigaoctets de données piratées de Roskomnadzor, l’agence fédérale russe chargée de surveiller, contrôler et censurer les médias de masse russes. Ces données provenaient précisément de la branche régionale de l’agence en République du Bachkortostan. The Intercept a rendu cet ensemble de données consultable et partagé avec des journalistes russes indépendants de Meduza qui ont rapporté que Roskomnadzor surveillait Internet pour “l’antimilitarisme” depuis au moins 2020. Début mars, Roskomnadzor a commencé à censurer l’accès à Meduza depuis l’intérieur de la Russie “en raison de propagation de faux sur l’opération spéciale en Ukraine », a déclaré un porte-parole de l’agence au site d’information russe RIA Novosti.

Les hacks ont continué. À la mi-mars, DDoSecrets a publié 79 gigaoctets de courriels d’Omega Co., l’aile de recherche et développement de la plus grande société d’oléoducs au monde, Transneft, qui est contrôlée par l’État en Russie. Dans la seconde quinzaine de mars, le hacktivisme contre la Russie a commencé à s’intensifier. DDoSecrets a publié cinq ensembles de données supplémentaires :

• 5,9 gigaoctets d’e-mails de Thozis Corp., une société d’investissement russe détenue par l’oligarque milliardaire Zakhar Smushkin.
• 110 gigaoctets de courriels de MashOil, une entreprise russe qui conçoit et fabrique des équipements pour les industries du forage, de l’exploitation minière et de la fracturation hydraulique.
• 22,5 gigaoctets de données prétendument de la banque centrale de Russie. La source de ces données est la personne Le monde du lapin noir sur Twitter.
• 2,5 gigaoctets d’e-mails de RostProekt, une entreprise de construction russe. La source de ces données est la personne @DepaixPorteur sur Twitter.
• 15,3 gigaoctets de données de Rosatom State Nuclear Energy Corp., la société d’État russe spécialisée dans l’énergie nucléaire et qui représente 20 % de la production nationale d’électricité du pays. C’est aussi l’un des plus grands exportateurs mondiaux de produits de technologie nucléaire. La source de ces données comprenait une adresse e-mail hébergée chez le fournisseur de messagerie crypté gratuit ProtonMail.

Le dernier jour de mars, le collectif de transparence a également publié 51,9 gigaoctets de courriels du groupe Marathon, une société d’investissement détenue par l’oligarque russe sanctionné Alexander Vinokourov.

Avril est cruel pour l’Église orthodoxe

Le premier jour d’avril, DDoSecrets a publié 15 gigaoctets de courriels de l’aile caritative de l’Église orthodoxe russe. Étant donné que les e-mails peuvent contenir des informations sensibles et privées d’individus, DDoSecrets ne distribue pas ces données au public. Au lieu de cela, les journalistes et les chercheurs peuvent contacter DDoSecrets pour en demander une copie.

Le 3 avril, DDoSecrets a publié 483 gigaoctets de courriels et de documents de Mosekspertiza, une société d’État qui fournit des services d’experts à la communauté des affaires en Russie. Le 4 avril, DDoSecrets a publié 786 gigaoctets de documents et de courriels de la société panrusse de radiodiffusion et de télévision d’État, désignée par l’acronyme anglais VGTRK. VGTRK est le radiodiffuseur public russe ; il exploite des dizaines de stations de télévision et de radio à travers la Russie, y compris des stations régionales, nationales et internationales en plusieurs langues. D’anciens employés de VGTRK ont déclaré à la publication numérique Colta.ru que le Kremlin dictait fréquemment la manière dont les informations devaient être couvertes. Network Battalion 65 est la source des hacks VGTRK et Mosekspertiza.

Le secteur juridique russe a également été piraté. Le 8 avril, DDoSecrets a publié 65 gigaoctets de courriels du cabinet d’avocats Capital Legal Services. Le personnage wh1t3sh4d0w soumis les données au collectif de la transparence.

Dans les jours suivants, DDoSecrets a publié trois autres jeux de données :

Le 11 avril, DDoSecrets avait publié trois autres ensembles de données :

• 446 gigaoctets de courriels du ministère de la Culture de la Fédération de Russie. Cette agence gouvernementale est responsable de la politique de l’État concernant l’art, le cinéma, le droit d’auteur, le patrimoine culturel et, dans certains cas, la censure.
• 150 gigaoctets de courriels de l’administration municipale de Blagovechtchensk. C’est dans la même région de Russie que l’ensemble de données Roskomnadzor a été piraté.
• 116 gigaoctets de courriels du bureau du gouverneur de l’oblast de Tver, une région de la Russie au nord-ouest de Moscou.

À la mi-avril, DDoSecrets a publié plusieurs ensembles de données des industries pétrolières et gazières :

• 440 gigaoctets de courriels de Technotec, un groupe de sociétés qui développe des réactifs chimiques et fournit des services aux sociétés pétrolières et gazières.
• 728 gigaoctets de courriels de Gazprom Linde Engineering, une entreprise qui conçoit des installations de traitement du gaz et de la pétrochimie et des raffineries de pétrole. Cette société était une joint-venture entre la société gazière russe Gazprom – la plus grande société de Russie – et la société allemande Linde. Fin mars, en réponse aux sanctions économiques contre la Russie, Linde a annoncé qu’elle suspendait ses entreprises commerciales russes.
• 222 gigaoctets de données de Gazregion, une entreprise de construction spécialisée dans la construction de gazoducs et d’installations. Trois sources différentes – Network Battalion 65, @DepaixPorteur et un autre hacker anonyme – ont piraté cette société à peu près au même moment et ont soumis des données à DDoSecrets, qui a publié les trois ensembles de données qui se chevauchent pour “fournir une image aussi complète que possible et fournir un possibilité de comparaison et de recoupement.

Le 16 avril, DDoSecrets a publié deux autres ensembles de données :

Juste au cours de la semaine dernière, DDoSecrets a publié ces ensembles de données :

• 107 gigaoctets d’e-mails de Neocom Geoservice, une société d’ingénierie spécialisée dans le pétrole, le gaz et le forage.
• 1,2 gigaoctet de données de la firme biélorusse Synesis, qui développe des systèmes de surveillance.
• 9,5 gigaoctets de courriels du Département général des troupes et de la construction civile, une entreprise de construction appartenant au ministère russe de la Défense. Cela a été piraté par @DepaixPorteur.
• 160 gigaoctets de courriels de Tendertech, une entreprise qui traite des documents financiers et bancaires pour le compte d’entreprises.
• 130 gigaoctets de courriels de Worldwide Invest, une société d’investissement russe.
• 432 gigaoctets de courriels de la société de gestion immobilière russe Sawatzky. Ses clients comprennent de grandes marques comme Google, Microsoft, Samsung et Johnson & Johnson
• 221 gigaoctets d’e-mails d’Accent Capital, une société russe d’investissement immobilier commercial.

Plus tôt dans la journée, DDoSecrets a publié 342 gigaoctets de courriels d’Enerpred, le plus grand producteur d’outils hydrauliques en Russie qui travaille dans les secteurs de l’énergie, de la pétrochimie, du charbon, du gaz et de la construction.

Rechercher les données piratées

Malgré l’ampleur massive de ces fuites de données russes, très peu de journalistes en ont fait état jusqu’à présent. Depuis le début de la guerre, la Russie a sévèrement réprimé ses médias nationaux, introduisant des peines d’années de prison pour les journalistes qui utilisent les mauvais mots pour décrire la guerre en Ukraine – comme l’appeler une “guerre” au lieu d’une “opération militaire spéciale”. ” La Russie a également intensifié ses efforts de censure, bloquant Twitter et Facebook et censurant l’accès aux sites d’information internationaux, laissant le public russe largement dans l’ignorance lorsqu’il s’agit d’opinions qui ne sont pas sanctionnées par l’État.

L’un des obstacles pour les organes de presse non russes est la langue : les données piratées sont principalement en russe. De plus, les ensembles de données piratés s’accompagnent toujours de défis techniques considérables. The Intercept, qui a été fondé en partie pour rendre compte des archives des documents de l’Agence de sécurité nationale divulgués par Edward Snowden, a utilisé nos ressources techniques pour créer des outils permettant de rendre ces ensembles de données russes consultables, puis de partager l’accès à ces outils avec d’autres journalistes. Des journalistes russophones de Meduza – qui est obligé d’opérer en Lettonie pour éviter la portée du Kremlin – ont déjà publié un article basé sur l’un des ensembles de données indexées par The Intercept.