Trois experts canadiens en cybersécurité sont sceptiques quant à l’affirmation d’un hacktiviste prorusse selon laquelle son gang aurait violé et endommagé le réseau de technologie d’exploitation d’une entreprise canadienne de gazoduc.
« C’est presque certainement de la désinformation », a déclaré David Swan, directeur du cyber-renseignement basé en Alberta au Centre for Strategic CyberSpace and International Studies, dans un courriel.
La revendication a été faite dans des documents classifiés divulgués par le Pentagone publiés sur Internet. Les responsables américains disent qu’ils sont authentiques et le ministère de la Justice a ouvert une enquête sur le vol.
Selon CNN, les messages sont des photos de documents froissés. Ils couvrent un large éventail de sujets très sensibles, notamment les faiblesses de l’armement ukrainien, la défense aérienne et la taille des bataillons, le degré de pénétration des États-Unis dans le ministère russe de la Défense et une conversation entre deux responsables sud-coréens.
Selon le site d’information Zero Day, ils incluent également une page, apparemment issue d’un breffage du renseignement américain, avec deux paragraphes sur la cyberattaque présumée du gang de piratage russe appelé Zarya contre une société énergétique canadienne non identifiée.
Pour prouver son affirmation, Zarya aurait partagé des captures d’écran avec un officier du Bureau fédéral de la sécurité (FSB) de contre-espionnage russe montrant qu’il avait accédé à l’opérateur canadien du pipeline et avait la capacité d’augmenter la pression de la vanne, de désactiver les alarmes et de déclencher un arrêt d’urgence de l’installation. Zero Day, qui a vu le document volé, affirme que le breffage du renseignement américain n’a pas identifié la victime canadienne, écrivant que la capture d’écran était celle d’une « station de distribution de gaz non spécifiée ».
Zero Day affirme que le document d’information américain qu’il a vu indique que le groupe de piratage « recevait des instructions » de quelqu’un présumé être un officier du FSB qui leur a ordonné de maintenir leur accès au réseau, et que les pirates étaient « en attente » de plus amples instructions du FSB.
Le document indique que l’officier du FSB « prévoyait qu’une opération réussie provoquerait une explosion » à la station de distribution de gaz et que le FSB « surveillait les nouvelles canadiennes à la recherche d’indications d’explosion ». Mais, ajoute le reportage de Zero Day, on ne sait pas ce que les pirates ont fait ou prévu de faire à l’installation. Le document indique que Zarya a affirmé qu’ils avaient déjà causé « suffisamment de dommages » à l’entreprise canadienne « pour causer une perte de profit à l’entreprise », mais leur intention n’était « pas de causer des pertes de vie », mais seulement « une perte de revenus pour les Canadiens ».
Zero Day a déclaré que le Centre canadien de la sécurité des communications (CST), qui aide les entreprises d’infrastructures critiques à protéger les réseaux informatiques et d’exploitation, a refusé de commenter le document.
Après avoir lu le reportage, Swan a rejeté le rapport de renseignement. « La Russie travaille sur des stratégies et des tactiques de désinformation depuis 1996 – que nous connaissons », a-t-il déclaré. « C’est une tactique préférée car elle coûte peu et (en cas de succès) perturbe la cible. »
« Il est très peu probable qu’il y ait eu une interruption des opérations du pipeline. Entre les groupes environnementaux et une prochaine élection provinciale, une dissimulation serait extrêmement difficile. »
Eric Byres, fondateur et directeur de la technologie du fournisseur de visibilité de la chaîne d’approvisionnement en logiciels basé à Vancouver, aDolus, a déclaré dans un courriel qu’il est « possible que Zarya ait un accès limité à une installation canadienne et qu’elle ait peut-être déclenché une brève fermeture d’urgence de l’installation (ce dont je doute) ».
« Mais un impact physique (comme une explosion) semble très improbable. Grâce à des décennies d’ingénierie de sécurité pour empêcher les pannes accidentelles et mécaniques de causer de graves problèmes, c’est une entreprise colossale d’avoir un impact physique sur un système de distribution de gaz. C’est quelque chose que les agences gouvernementales étrangères avec des équipes importantes n’ont pas encore réussi à faire. Par exemple, les attaques de Triton contre les systèmes de sécurité des raffineries au Moyen-Orient en 2017 ont été détectées avant qu’elles n’atteignent un objectif significatif, et le temps et les ressources que les attaquants ont consacrés à ce projet étaient considérables. »
« Les attentats de Pipedream l’an dernier en sont un autre exemple. Attaquer avec succès les systèmes d’exploitation nécessite les ressources d’un État-nation et même dans ce cas, cela réussit rarement complètement (il suffit de demander à l’équipe qui a créé Stuxnet). »
« Il est probable que les attaquants ont trouvé des captures d’écran IHM [interface homme-machine] dans un ordinateur mal sécurisé (disons l’ordinateur portable d’un entrepreneur) et ont exagéré leur découverte en ayant un accès et un contrôle réels d’un système d’exploitation », conclut Byres.
« Je ne crois pas à cette affirmation », a déclaré Brett Callow, un analyste des menaces basé en Colombie-Britannique pour Emsisoft, dans un courriel. « En fait, toute la fuite ressemble à une opération de désinformation. »
Zero Day cite Lesley Carhart, directrice de la réponse aux incidents pour l’Amérique du Nord à la société de cybersécurité industrielle Dragos, affirmant que les pirates ont compromis des installations pétrolières et gazières canadiennes dans le passé, y compris les attaques de ransomware qui ont affecté les opérations. Mais il était sceptique que Zarya ait la capacité de provoquer une explosion.
Le Globe and Mail citait récemment le PDG de l’Association canadienne du gaz affirmant qu’il n’est au courant d’aucune infrastructure de distribution de gaz compromise ici.
Il y a des opinions divergentes sur les documents divulgués par le Pentagone. Certains experts ont été cités comme affirmant que beaucoup semblent authentiques mais soupçonnent que certains détails ont été modifiés.
CNN citait dimanche l’attachée de presse adjointe du Pentagone, Sabrina Singh, affirmant que le ministère de la Défense continue d’examiner et d’évaluer la validité des documents.
Dans un rapport de février, la société de cybersécurité Radware a déclaré que Zarya est un groupe hacktiviste pro-russe qui a émergé en mars 2022. Au départ, le groupe fonctionnait comme une unité spéciale sous le commandement de Killnet, un groupe hacktiviste bien connu. Après l’invasion russe de l’Ukraine, Zarya a quitté Killnet et s’est concentré sur le recrutement de pirates informatiques qualifiés parmi d’autres groupes de menace pro-russes. Mais en mai 2022, Zarya a rejoint Killnet dans le cadre d’un projet plus vaste dont le nom se traduit par « Légion », puis est redevenu indépendant en août dernier.
Le groupe est principalement connu pour ses attaques par déni de service, ses campagnes de défiguration de sites Web et ses fuites de données, indique le rapport de Radware. Ces tactiques ont été mises à profit pour soutenir le programme pro-russe du groupe et ont considérablement perturbé les organisations et les individus ciblés.
Les documents divulgués sont apparus en ligne le mois dernier sur la plateforme de médias sociaux Discord et ont commencé à être rendus publics la semaine dernière.
