Fancy Bear et sa technique pour anéantir la sécurité – remarquez l’incongruité entre Fancy Bear et annihilate! Le nom est en fait une antiphrase d’un groupe de pirates informatiques russes dirigé par le GRU, le service de renseignement militaire russe.
CyberBerkut, qui s’est fait un nom aux côtés de Fancy Bear, un hacktivista ukrainien pro-russe, s’est récemment lancé pour défigurer la sécurité. En février 2016, un groupe de chercheurs, ThreatConnect, a découvert qu’un porte-parole de propagande du gouvernement russe appelé CyberBerkut visait Eliot Higgins, cofondateur d’un site Web de journalistes citoyens Bellingcat.com. Apparemment, CyberBerkut n’est pas seulement à la traîne d’Eliot Higgins, mais aussi de Ruslan Leviev, un autre chercheur de Bellingcat impliqué dans l’enquête. Il a empiété sur ses courriels, iCloud et les médias sociaux, tout en rendant publiques ses photos personnelles et d’autres détails privés.
Tout a commencé un an plus tôt, en février 2015, lorsque Eliot Higgins a été ciblé par des pirates russes. Le journaliste avait commencé à publier des documents sur son site Web, signalant l’implication présumée de la Russie dans la fusillade. En juillet, des hacktivistes russes ont publié plus de 30 articles en 30 heures, tous en russe, remettant en question la crédibilité de Higgins et ses rapports.
Le site Web Bellingcat.com est une firme d’enquête, formée par un groupe de journalistes citoyens, qui publie des articles et des documents sur diverses questions de sécurité nationale, notamment sur des zones de conflit comme la Syrie, l’Ukraine et la Russie. Il utilise des informations de source ouverte telles que des photos, des vidéos, des cartes et des publications sur les médias sociaux pour son enquête. Le site Web a suivi de près les données entourant l’abattage du MH17 de Malaysian Airlines. Le 17 juillet 2014, le MH17, qui reliait Amsterdam à Kuala Lumpur, a été abattu au-dessus de la zone de conflit dans l’est de l’Ukraine, tuant les 298 passagers et membres d’équipage.
Depuis l « écrasement, Bellingcat a publié environ 92 messages s’inspirant de différents types de références, avec un dévouement total, pour valider la présence d » équipement militaire russe. L’inquiétude initiale de Higgins l’a d’abord amené à partager ses données avec ThreatConnect « qui indiquent que Bellingcat a été ciblé de manière soutenue par des auteurs de menace russes, ce qui nous a permis d’identifier une campagne d’hameçonnage en 2015 qui est conforme aux tactiques, techniques et procédures de FANCY BEAR ».
La technique de Fancy Bear a consisté à envoyer des courriels de harponnage « qui ont été écrits de manière à tromper le destinataire pour qu’il clique sur un lien contenant un logiciel malveillant ». Trois chercheurs de Bellingcat ont été victimes de courriels d’hameçonnage – Higgins, Aric Toler et Veli-Peka Kivimaki – de février 2015 à juillet 2016. Higgins lui-même avait reçu 16 courriels frauduleux qui contenaient de fausses alertes de sécurité Gmail pour examiner des activités suspectes apparentes. Cependant, ThreatConnect travaille également sur l’interconnexion présumée entre l’hameçonnage de Fancy Bear et les efforts ciblés de CyberBerkut, tous deux se produisant dans une séquence rapide. Les analystes de ThreatConnect ont proposé deux théories qui doivent encore être confirmées :
1) Coordination plus forte et plus étroite entre FANCY BEAR et CyberBerkut : Ce qui semble être un bon indicateur est le moment idéal entre les deux acteurs étatiques. Lorsqu’une méthode d’hameçonnage a échoué, ce qui a été obtenu a été un recours plus agressif pour compromettre Bellingcat.
2) L’approche des ennemis communs : Une coordination plus faible/moins élevée entre FANCY BEAR et CyberBerkut : ThreatConnect suppose que les campagnes d’hameçonnage se sont probablement concentrées sur l’intérêt et la couverture de Bellingcat pour l’abattage du MH17. D’autre part, CyberBerkut cible Leviev spécifiquement pour son rôle dans l’enquête avec l’aide de quelques amis à Moscou.
Une enquête menée par les Pays-Bas, une équipe d’enquête conjointe internationale, a confirmé la complicité de la Russie dans l’attaque contre le MH17, qui a suscité des manifestations en Russie qui prétendaient avoir poursuivi son enquête sur qui exactement a ordonné la frappe. Mais le danger réside dans le fait que le nom de Higgins a été inclus dans le rapport de l’EEM comme l’un des nombreux témoins officiels, tant pour les Russes que pour Higgins. Cela a conduit l’État russe Spoutnik ou RT à attaquer Higgins non seulement virtuellement, mais aussi en personne en envoyant un satiriste avec un caméraman, qui a apparemment interrogé la mère de Higgin.
Ce fiasco a clairement montré une chose à laquelle il faut faire attention : les tentatives russes de saboter la quête de vérité de Bellingcat derrière l’abattage du MH17 indiquent la menace sous laquelle d’autres médias, encouragés par la même poursuite, pourraient se trouver : « Si la Russie est prête à aller aussi loin pour compromettre une petite organisation journalistique et ses contributeurs, réfléchissez à ce qu’ils sont prêts à faire aux grands médias et aux médias qui publient des articles similaires », explique Rich Barger, directeur du renseignement chez ThreatConnect.
Le nom Bellingcat est dérivé de la célèbre fable « La cloche et le chat » du canon d’Ésope. Bien que Bellingcat se soit aventuré dans la tâche presque impossible de « sonner le chat », il devrait également se lancer dans la tâche d’apprivoiser les pirates informatiques pour éviter toute perturbation dans cette tâche.
