Des pirates militaires russes ont tenté de voler des courriels à la firme ukrainienne d’énergie où Hunter Biden, le fils du candidat démocrate à la présidentielle Joe Biden, siégeait au conseil d’administration, a annoncé lundi une firme américaine de cybersécurité.
La société d’énergie Burisma Holdings Ltd a été au centre des tentatives du président américain Donald Trump en juillet dernier pour faire pression sur les autorités ukrainiennes pour qu’elles annoncent une enquête sur les Bidens pour corruption présumée, un effort qui a conduit à la destitution du républicain par la Chambre des représentants des États-Unis le accusations d’abus de pouvoir et d’entrave au Congrès.
La sécurité de la zone 1 basée en Californie a identifié le piratage de Burisma et l’a lié à la Direction générale du renseignement militaire de la Russie, ou GRU. Le même groupe de piratage informatique, connu sous le nom de «Fancy Bear» par des chercheurs en cybersécurité, a violé le Comité national démocrate en 2016 dans ce que les enquêteurs américains ont décrit dans le cadre d’une opération visant à perturber les élections de cette année.
“Vous pouvez voir que cette attaque commence vraiment à être parallèle à ce que nous avons vu en 2016”, a déclaré Oren Falkowitz, directeur général de la zone 1, dans une interview.
Le ministère russe de la Défense n’a pas immédiatement répondu à une demande de commentaires. Les responsables de la US National Security Agency et du Department of Homeland Security ont refusé de commenter.
Burisma n’a pas immédiatement répondu à une demande de commentaire.
Une source proche de Burisma a déclaré à Reuters que le site Web de la société avait fait l’objet de multiples tentatives d’effraction au cours des six derniers mois, mais n’a pas fourni de détails supplémentaires.
Les données que les pirates cherchaient à voler ne sont pas claires, a déclaré la zone 1. Breaching Burisma pourrait générer des communications de, vers ou à propos de Hunter Biden, qui a été administrateur entre 2014 et 2019. Une fuite de données volées pourrait potentiellement affecter le processus de destitution et le concours électoral américain.
La zone 1 a déclaré avoir pris connaissance du ciblage russe de Burisma après que son produit d’analyse de la sécurité des e-mails ait trouvé des preuves suspectes en ligne, y compris des «domaines de leurre» – des sites Web conçus pour imiter les services de messagerie légitimes utilisés par les filiales de Burisma.
Les enregistrements d’enregistrement de domaine accessibles au public examinés par Reuters montrent que les pirates ont créé les domaines de leurre entre le 11 novembre, la veille du jour où les démocrates américains ont commencé leurs premières audiences publiques de mise en accusation, et le 3 décembre, la veille du jour où la commission judiciaire de la Chambre a abordé la question.
Les dossiers montrent que les mêmes personnes ont également enregistré de faux domaines pour une société de médias ukrainienne, nommée Kvartal 95, en mars et avril 2019. Kvartal 95 a été fondée par le président ukrainien Volodymyr Zelenskiy et plusieurs employés de la station ont depuis rejoint son administration.
Kvartal 95 et les représentants de Zelenskiy n’ont pas immédiatement répondu aux demandes de commentaires.
Le rapport de la zone 1 a révélé avoir découvert que le GRU avait ciblé deux filiales de Burisma, KUB Gas LLC et Esko Pivnich, ainsi que CUB Energy Inc, qui était affiliée à la société, en utilisant des domaines similaires destinés à inciter les employés à fournir leurs mots de passe de messagerie.
Burisma et ses filiales partagent le même serveur de messagerie, a déclaré Area 1, ce qui signifie qu’une violation de l’une des sociétés pourrait les exposer tous.
Le rapport a donné une indication limitée de la façon dont la zone 1 a déterminé que les domaines de ressemblance étaient le travail du GRU, soulignant principalement des similitudes dans la façon dont les pirates avaient auparavant réglé leurs pièges numériques. Le co-fondateur de la zone 1, Blake Darche, a déclaré que des données non publiées recueillies par sa société avaient lié l’opération à un officier spécifique à Moscou, dont il n’a pas pu établir l’identité.
Mais Darch a déclaré: «nous sommes sûrs à 100%» que le GRU était derrière le piratage.
Un chercheur extérieur, Kyle Ehmke, de la société de cybersécurité ThreatConnect basée en Virginie, qui a examiné les domaines malveillants signalés par la zone 1, a déclaré sur la base des informations qu’il avait vues, qu’il pensait «avec une confiance modérée» que les sites Web avaient été conçus par le GRU.
Ehmke a déclaré que l’opération de piratage contre Burisma utilisait des outils et des méthodes compatibles avec les pirates russes associés au GRU, mais qu’une image complète faisait défaut.
Les espions russes ont systématiquement ciblé les entreprises énergétiques ukrainiennes avec des cyberattaques depuis que la Russie a contribué à une prise de contrôle séparatiste dans l’est de l’Ukraine en 2014.
Andrew Bates, un porte-parole de Joe Biden, n’a pas commenté directement le piratage mais a déclaré dans un e-mail: “Tout président américain qui n’a pas encouragé à plusieurs reprises des interventions étrangères de ce type condamnerait immédiatement cette attaque contre la souveraineté de nos élections.”
Les responsables du renseignement américain ont averti que la Russie travaillait à intervenir lors des élections de novembre 2020. Trump cherche à être réélu et Biden est un adversaire potentiel sur une douzaine de démocrates à la recherche de la nomination de leur parti.
Trump nie avoir fait quelque chose de mal en demandant aux responsables ukrainiens d’enquêter sur la relation de Hunter Biden avec Burisma. Il n’y a aucune preuve d’actes répréhensibles de la part des Bidens, qui rejettent les allégations de greffe de Trump, et les responsables de son administration ont réfuté ces allégations à leur sujet.
