Deux nouveaux noms viennent de s’ajouter à la liste de plus en plus longue des pirates et cyberespions russes qui menacent l’Occident. Andreï Korinets et Ruslan Peretyatko ont été accusés par le Royaume-Uni et les États-Unis d’être les principaux artisans d’une vaste campagne d'influence et de piratage de données menée depuis 2015 des deux côtés de l’Atlantique. Et derrière eux se profile le spectre d’une unité très spécifique du FSB, l’une des agences du renseignement russe : le Centre 18 auquel ces deux personnages semblent liés.
Aux États-Unis, le ministère de la Justice accuse Andreï Korinets et Ruslan Petetyatko d’avoir piraté les comptes de messagerie d’employés du Pentagone, du ministère des Affaires étrangères, du ministère de l’Énergie, ainsi que de sociétés privées du secteur de la Défense.
Espionner l’ex-patron du MI6
Mais c’est au Royaume-Uni que ce duo semble avoir été le plus actif. Il a orchestré la surveillance numérique depuis 2015 de "multiples parlementaires de plusieurs partis, de journalistes, d’ONG, d’universitaires et d’autres personnalités qui jouent un rôle clef dans le processus démocratique", affirment les autorités britanniques.
Cette opération a également permis de "pirater les documents d’un accord commercial entre les États-Unis et le Royaume-Uni qui avait fuité avant les élections générales britanniques en 2019", peut-on lire dans le communiqué de presse du gouvernement britannique.
Ils sont aussi accusés d’avoir réussi à s’introduire dans la boîte mail de Richard Dearlove, l’ex-patron du MI6, le service britannique de renseignement extérieur, et d’avoir dérobé les communications privées de cet ancien chef des espions. Un vol qui avait abouti à la divulgation en 2022 des discussions de Richard Dearlove avec un groupe de pression pro-Brexit qui voulait pousser Londres à adopter un ton encore plus dur avec l’Union européenne, souligne le Guardian.
Un sacré tableau de chasse pour deux individus qui semblent agir depuis le fin fond de la Russie. Ruslan Petetyatko est un agent du FSB en poste à Syktyvkar, une ville de la république de Komi, dans le nord-est de la Russie, située à plus de 1 000 km de Moscou. Son compère, Andreï Korinets opère dans la même ville mais pas directement pour le FSB. Les autorités américaines le soupçonnent d’être une figure plus ou moins influente de la communauté locale des hackers qui aurait été recruté par les services de renseignement.
"C’est un cas classique d’utilisation d’un intermédiaire extérieure par les agences de renseignement russes pour faire ce genre de travail", assure John Fokker, chef des renseignements sur la menace du centre de recherches de l’entreprise de cybersécurité Trellix.
Callisto, Star Blizzard ou Seaborgium
Déjà en 2017, le Centre 18 du FSB avait engagé des cybercriminels russes pour pirater et voler les comptes de 500 millions d’utilisateurs de la messagerie Yahoo, d’après les autorités américaines.
Le point commun entre toutes ces opérations : l’intrusion sur les boîtes mails de leurs cibles. C’est l’une des spécialités du Centre 18, qui dispose d’une équipe spécialisée sur cette tâche, connue sous de multiples surnoms : groupe Callisto, Star Blizzard ou encore Seaborgium.
Le Centre 18 est l’une des deux principales officines de la célèbre agence russe de renseignement à mener des opérations cyber. L’autre est le Centre 16 "qui est davantage spécialisé dans l’interception des signaux électroniques, comme ceux des satellites par exemple", note Maxime Arquillière, analyste en cybersécurité pour la société Sekoia.io.
Historiquement, le Centre 18 a été "établi il y a une dizaine d’années pour protéger les infrastructures critiques russes contre les menaces de cyberattaques et les menaces informationnelles", souligne Olesya Tkacheva, spécialiste des questions de cybersécurité russe à la Brussels School of Governance.
C’est donc une unité censée s’occuper des questions de sécurité intérieure avant tout. Elle est même "un pilier central du système de cybersurveillance russe car c’est le Centre 18 qui s’assure que les compagnies de télécommunication installent le dispositif qui permet à Moscou d’espionner les activités en ligne de ses citoyens", note Olesya Tkacheva.
Et pourtant, le groupe Callisto du Centre 18 a développé une réelle expertise en dehors des frontières dans le "vol des données sur les comptes de messagerie afin de pouvoir s’appuyer dessus et éventuellement les déformer pour construire des narratifs qui vont dans le sens des intérêts de l’État russe", résume Maxime Arquillière.
Viser des ONG qui documentent les crimes de guerre
C’est ce que ces cyberespions ont fait avec l’ex-patron du MI6 britannique. "Semer le chaos au sein de l’administration du principal allié européen des États-Unis - ennemi numéro 1 de Moscou - rentre parfaitement dans les objectifs du régime russe", souligne Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone.
Cette même branche du FSB est aussi soupçonnée d’avoir mené depuis un an une campagne de cyberespionnage contre quatre ONG qui collectent des preuves de crimes de guerre dans des zones de conflits… comme en Ukraine. "C’est probablement une manière de permettre à Moscou de préparer une riposte", estime Maxime Arquillière.
À chaque fois, ces agents russes prennent leur temps. Ils apprennent à connaître les cibles, les contactent en se faisant passer pour une connaissance et établissent une relation de confiance. Enfin, ils leur envoient un mail contenant un virus permettant de s’introduire sur leur boîte de messagerie. "Ils n’utilisent pas des techniques très sophistiquées, mais ils font preuve d’une grande détermination et d’une excellente capacité à cerner leurs cibles", souligne Gérôme Billois.
Ils ne sont toutefois pas les seuls sur ce créneau. Le GRU - le renseignement militaire russe - dispose de sa propre équipe de cyberespions, baptisée APT28 (ou Fancy Bear). Plus connus que les petites mains du Centre 18, ce sont ces hackers qui avaient notamment piraté les serveurs du parti démocrate américain dans le cadre de l’opération d’influence russe durant la campagne présidentielle de 2016 aux États-Unis.
Dans ce cas, pourquoi le Centre 18 marche-t-il sur les plates-bandes de l’illustre groupe APT28, alors qu'il a sûrement déjà assez à faire à surveiller les opposants et museler l’information autour de la guerre en Ukraine ?
"Il est possible que ces espions du FSB aient, de par leur mission de surveillance interne, une meilleure connaissance du réseau de cybercriminels locaux qu’ils peuvent ensuite recruter pour mener des opérations à l’extérieur", avance John Fokker.
Il peut aussi y avoir des luttes de pouvoir entre services "pour s’attirer les faveurs de Vladimir Poutine, surtout à moins d’un an de la prochaine élection présidentielle", note Olesya Tkacheva. Enfin, l’importance grandissante des opérations internationales pour le groupe Callisto du Centre 18 peut aussi être le reflet "de l’augmentation des cyberattaques russes contre les pays de l’Otan, ce qui a poussé le Kremlin à élargir le champ d’action du Centre 18", ajoute l’experte de l’université belge.
Avec des rendez-vous importants en 2024 - l’élection présidentielle américaine et les élections européennes - les spécialistes du cyberespionnage à des fins politiques vont probablement multiplier les opérations, assure le Guardian. Le Centre 18 a prouvé avec son opération au Royaume-Uni qu’il savait le faire.
"Évidemment qu’il va y avoir des cyberoperations lors de ces rendez-vous car c’est dans l’intérêt de Moscou", précise Gérôme Billois. Mais il ne faut pas s'attendre à une redite des campagnes de 2016 pour influencer l'élection américaine, veut croire cet expert. Le monde a changé entre-temps, et les techniques se sont affinées, à la fois du côté des attaquants que de ceux qui veulent s'en prémunir. Autrement dit, nul ne sait encore quelle forme va prendre cet affrontement d'espions qui risque de marquer l'année prochaine.