Quand de mystérieux hackers a déclenché l’arrêt d’un Raffinerie de pétrole saoudienne En août 2017, l’enquête qui a suivi a révélé que le logiciel malveillant utilisé dans cette attaque avait un potentiel mortel sans précédent et unique: il était destiné à désactiver les systèmes de sécurité de l’usine conçus pour empêcher des conditions dangereuses qui pourraient entraîner des fuites ou des explosions. Aujourd’hui, trois ans plus tard, au moins une organisation russe responsable de cette cyberattaque impitoyable doit rendre des comptes.

Aujourd’hui, le Trésor américain a imposé les sanctions sur l’Institut central de recherche scientifique russe en chimie et mécanique, l’organisation qui, il y a exactement deux ans, s’est révélée avoir joué un rôle dans l’opération de piratage utilisant ce logiciel malveillant connu sous le nom de Triton ou Trisis, destiné à saboter les dispositifs de sécurité de la raffinerie Petro Rabigh. Triton a été conçu spécifiquement pour exploiter une vulnérabilité dans les «systèmes instrumentés de sécurité» de marque Triconex vendus par Schneider Electric. Au lieu de cela, il a déclenché un mécanisme de sécurité qui a complètement arrêté l’usine de Rabigh.

“Ils développent clairement un outil qui pourrait avoir des conséquences fatales.”

John Hultquist, FireEye

Les sanctions empêchent effectivement l’institution de faire des affaires aux États-Unis ou avec eux. Ils représentent également la première déclaration gouvernementale tenant la Russie – ou tout autre pays – responsable de cette attaque potentiellement destructrice, seul le troisième logiciel malveillant connu à être apparu dans la nature et ayant directement interagi avec les systèmes de contrôle industriels. Et bien que le malware Triton ne soit publiquement connu que pour avoir été déployé contre cette cible saoudienne, la déclaration du secrétaire au Trésor Steve Mnuchin annonçant les nouvelles sanctions a clairement indiqué que le message est destiné à dissuader toute attaque similaire contre l’infrastructure américaine. «Le gouvernement russe continue de se livrer à des cyber-activités dangereuses visant les États-Unis et nos alliés», a déclaré Mnuchin. «Cette administration continuera de défendre de manière agressive l’infrastructure critique des États-Unis contre quiconque tente de la perturber.»

Triton a été lié à l’institut basé à Moscou, connu sous l’acronyme russe TsNIIKhM, depuis 2018, lorsque la société de sécurité FireEye a trouvé des preuves que les outils utilisés dans l’affaire Triton avaient été testés avec une plate-forme de test de logiciels malveillants sans nom par un membre de l’institut. Un fichier contenait même un identifiant de pirate informatique associé à une personne spécifique qui, selon un profil de réseau social, avait été professeur à TsNIIKhM.

Mais les nouvelles sanctions fournissent une confirmation officielle de cette théorie et une nouvelle responsabilité de l’institut pour son rôle dans la cyberattaque. «Cela signifie que le gouvernement reconnaît ce laboratoire comme une menace sérieuse pour la sécurité mondiale», déclare John Hultquist, directeur du renseignement chez FireEye. “Ils développent clairement un outil qui pourrait avoir des conséquences fatales.”

Les pirates qui ont déployé Triton, baptisé Xenotime par la société de cybersécurité industrielle Dragos, ont également sondé les cibles du réseau électrique américain, selon Dragos et l’Electric Information Sharing and Analysis Center, en recherchant des points d’entrée dans les réseaux des services publics américains. FireEye a trouvé le groupe au sein du réseau d’une autre victime en dehors de l’Arabie saoudite, bien qu’il ait refusé de révéler plus de détails sur cette cible. Après l’intrusion de Petro Rabigh, les pirates n’ont pas été repérés en train de déployer à nouveau Triton.

Les nouvelles sanctions interviennent au milieu d’une vague soudaine d’agences gouvernementales américaines dénonçant, humiliant et punissant les pirates informatiques russes parrainés par l’État pour des cyberattaques et des intrusions remontant à des années. Lundi, le ministère de la Justice a inculpé six hackers travaillant au service de l’agence de renseignement militaire russe, le GRU. Les pirates informatiques, connus sous le nom de Sandworm, sont accusés de cinq ans d’attaques perturbatrices allant des pannes de courant en Ukraine aux logiciels malveillants les plus destructeurs jamais créés, NotPetya, en passant par une tentative de sabotage des Jeux olympiques d’hiver de 2018. Puis, hier, l’Agence de cybersécurité et d’infrastructure du DHS a publié un avis à propos d’un autre groupe de hackers russe connu sous le nom de Berserk Bear, ou Dragonfly, effectuant de vastes intrusions d’organisations gouvernementales et locales des États américains ainsi que de compagnies aériennes américaines.