Dans une note publique rare, la NSA accuse un des bras cyber de l'armée russe d'avoir exploité pendant plus d'un an une faille critique d'un service d'email. À quelques mois de l'élection présidentielle, l'activité de ce groupe d'élite inquiète les autorités.
Fait rare, jeudi 28 mai : la célèbre National Security Agency (NSA) a prévenu le public au sujet d’une campagne de cyberattaque en cours. Détail encore plus exceptionnel, elle attribue directement les actes de cybermalveillance à Sandworm, un célèbre groupe de hackers rattaché au renseignement militaire russe.
La NSA accuse les cyberespions russes d’avoir exploité, pendant près d’un an, une faille sur le MTA (mail transfer agent) Exim. Les MTA sont les logiciels en charge du transfert d’email d’une adresse à l’autre. Des géants du courrier électronique, comme Gmail, ont développé leur propre brique logicielle, mais d’autres s’appuient sur un logiciel tiers. Les plus populaires s’appellent Postfix, Microsoft Exchange ou Sendmail, mais Exim s’est imposé comme une solide alternative aux géants de son marché.
Si des hackers parviennent à s’infilter sur le MTA, ils peuvent accéder aux courriers (et pièces jointes attachées) en transit, de la même manière qu’ils se serviraient dans les sacs de courrier d’un facteur. Ils peuvent aussi introduire leurs propres messages malveillants dans la distribution du courrier.
Les cyberespions russes auraient commencé à exploiter des failles sur les serveurs d’Exim en août 2019. Ils s’en sont servis pour créer un point d’entrée sur les systèmes informatiques de leurs victimes, et déployer des malwares virulents. Avare en détail comme à son habitude, l’agence américaine n’a pas communiqué les noms ni le nombre de victimes. Quant aux motivations exactes de l’armée russes, elles restent également mystérieuses.
Sandworm, découvert en 2014, est bien connu des autorités. Ce groupe s’est par le passé illustré par l’agressivité et la dangerosité de ses méfaits. On lui attribue notamment l’exploitation du ver informatique NotPetya — qui a causé des dommages évalués à 10 milliards de dollars –, des cyberattaques contre le gouvernement ukrainien, contre l’infrastructure des Jeux olympiques de 2018, ou encore des tentatives de déstabilisations de l’appareil de vote américain lors de l’élection présidentielle de 2016. Et c’est bien ce dernier point qui préoccupe le plus, alors que la nouvelle échéance présidentielle n’est que dans quelques mois.
Les hackers militaires russes ont utilisé une faille découverte en juin 2019. Elle permettait, par le simple envoi d’un email malveillant, de gagner la capacité d’exécuter du code sur le serveur, à distance. Les cyberespions ont profité de cette faille très simple à exploiter pour s’ouvrir la porte en grand : gain de privilège, désactivation de la sécurité du réseau, mise à jour de la sécurité du noyau pour la rendre plus perméable… Ils ont ensuite armé les serveurs d’Exim afin de s’en prendre à leurs véritables cibles. En raison de son rôle central dans l’échange d’emails, le MTA offre un excellent angle d’attaque contre toutes sortes de systèmes.
La faille exploitée par Sandworm a rapidement été patchée par Exim, mais certains clients n’ont pas encore fait les mises à jour, notamment car il faut faire passer le client mail hors ligne le temps qu’elle s’effectue. La NSA recommande aux administrateurs réseau de le faire, et d’en profiter pour analyser l’historique de leur trafic à la recherche de signes d’exploitation de la faille.
Le site Wired précise que la mise en avant de Sandworm (parmi d’autres cyberacteurs qui auraient exploité la faille) pourrait aussi faire partie d’une manœuvre de mise en lumière des activités du groupe russe.
Ce n’est qu’en février de cette année que Sandworm a été clairement attribué au GRU — le service de renseignement militaire russe — par les gouvernements britanniques et américains, à la suite de cyberattaques contre la Géorgie qui ont paralysées des centaines de sites et chaînes de télévision. Peut-être que la NSA prépare déjà le terrain contre d’éventuelles tentatives de déstabilisation lors de l’élection d’octobre.