L’armée américaine a agi contre des groupes de ransomware, reconnaît le général, United States News & Top Stories

SIMI VALLEY, CALIFORNIE (NYTIMES) – L’armée américaine a pris des mesures contre des groupes de ransomware dans le cadre de sa montée en puissance contre des organisations lançant des attaques contre des entreprises américaines, a déclaré samedi 4 décembre le plus grand cyberguerrier du pays, la première reconnaissance publique de mesures offensives contre de telles organismes.

Le général Paul Nakasone, chef de l’US Cyber ​​Command et directeur de la National Security Agency (NSA), a déclaré qu’il y a neuf mois, le gouvernement considérait les attaques de ransomware comme la responsabilité des forces de l’ordre.

Mais les attaques contre Colonial Pipeline et les usines de viande bovine JBS ont démontré que les organisations criminelles derrière elles ont “un impact sur notre infrastructure critique”, a déclaré le général Nakasone.

En réponse, le gouvernement adopte une approche plus agressive et mieux coordonnée contre cette menace, abandonnant sa précédente position de non-intervention.

Le Cyber ​​Command, la NSA et d’autres agences ont consacré des ressources à la collecte de renseignements sur les groupes de ransomware et au partage de cette meilleure compréhension au sein du gouvernement et avec des partenaires internationaux.

“La première chose que nous devons faire est de comprendre l’adversaire et ses idées mieux que jamais auparavant”, a déclaré le général Nakasone dans une interview en marge du Reagan National Defence Forum, un rassemblement de responsables de la sécurité nationale.

Le général Nakasone n’a pas voulu décrire les actions entreprises par ses commandes ni les groupes de ransomware ciblés. Mais il a déclaré que l’un des objectifs était d'”imposer des coûts”, terme utilisé par les responsables militaires pour décrire les cyber-opérations punitives.

“Avant, pendant et depuis, avec un certain nombre d’éléments de notre gouvernement, nous avons pris des mesures et nous avons imposé des coûts”, a déclaré le général Nakasone. “C’est un élément important auquel nous devons toujours être attentifs.”

En septembre, le Cyber ​​Command a détourné le trafic autour des serveurs utilisés par le groupe de ransomware REvil basé en Russie, ont déclaré des responsables informés de l’opération.

L’opération est intervenue après que des pirates du gouvernement d’un pays allié ont pénétré les serveurs, rendant plus difficile pour le groupe de collecter des rançons.

Après que REvil ait détecté l’action américaine, il s’est arrêté au moins temporairement. Cette opération de Cyber ​​Command a été rapportée le mois dernier par le Washington Post.

Le Cyber ​​Command et la NSA ont également aidé le FBI et le ministère de la Justice dans leurs efforts pour saisir et récupérer une grande partie de la rançon en crypto-monnaie payée par Colonial Pipeline. Le paiement Bitcoin a été initialement exigé par le groupe russe de ransomware connu sous le nom de DarkSide.

La première opération connue contre un groupe de ransomware par Cyber ​​Command a eu lieu avant les élections de 2020, lorsque les responsables craignaient qu’un réseau d’ordinateurs connu sous le nom de TrickBot ne soit utilisé pour perturber le vote.

Les représentants du gouvernement ne sont pas d’accord sur l’efficacité des actions renforcées contre les groupes de ransomware. Les responsables du Conseil de sécurité nationale ont déclaré que les activités des groupes russes avaient diminué. Le FBI est sceptique. Certains groupes extérieurs ont connu une accalmie mais ont prédit que les groupes de ransomware changeraient de nom et reviendraient en force.

Lorsqu’on lui a demandé si les États-Unis s’étaient mieux défendus contre les groupes de ransomware, le général Nakasone a déclaré que le pays était “sur une trajectoire ascendante”. Mais les adversaires modifient leurs opérations et continuent d’essayer d’attaquer, a-t-il déclaré.

La découverte l’année dernière du piratage de SolarWinds, dans lequel des agents de renseignement russes ont implanté des logiciels dans la chaîne d’approvisionnement, leur donnant un accès potentiel à des dizaines de réseaux gouvernementaux et à des milliers de réseaux commerciaux, a été faite par une entreprise privée et a révélé des failles dans les cyberdéfenses nationales américaines.

Le Cybersecurity Collaboration Center de la NSA a été mis en place pour améliorer le partage d’informations entre le gouvernement et l’industrie et pour mieux détecter les intrusions futures, a déclaré le général Nakasone, bien que les responsables de l’industrie disent que davantage doit être fait pour améliorer le flux de renseignements.

Le général Nakasone a déclaré que ce type d’attaques est susceptible de se poursuivre, par des groupes de ransomware et d’autres.

“Ce que nous avons vu au cours de l’année dernière et ce que l’industrie privée a indiqué, c’est que nous avons vu une augmentation énorme en termes d’implants et en termes de vulnérabilités zero-day et de ransomwares”, a-t-il déclaré, faisant référence à une faille de codage inconnue pour laquelle un patch n’existe pas. “Je pense que c’est le monde dans lequel nous vivons aujourd’hui.”

S’exprimant lors d’un panel au Forum Reagan, le général Nakasone a déclaré que le domaine du cyberespace avait radicalement changé au cours des 11 derniers mois avec la montée des attaques de ransomware et des opérations comme SolarWinds.

Il a déclaré qu’il était probable que dans tout futur conflit militaire, les infrastructures critiques américaines seraient ciblées.

“Les frontières signifient moins lorsque nous regardons nos adversaires, et quel que soit l’adversaire, nous devrions commencer par l’idée que notre infrastructure critique sera ciblée”, a-t-il déclaré au panel.

Le Cyber ​​Command a déjà commencé à intensifier ses efforts pour défendre les prochaines élections. Malgré le travail visant à exposer les efforts de la Russie, de la Chine et de l’Iran pour s’ingérer dans la politique américaine, le général Nakasone a déclaré dans l’interview que les campagnes étrangères malveillantes allaient probablement se poursuivre.

“Je pense que nous devons anticiper que dans le cyberespace, où les barrières à l’entrée sont si faibles, nos adversaires vont toujours essayer de s’impliquer”, a-t-il déclaré.

La recette du succès dans la défense des élections, a-t-il déclaré, est de fournir au public un aperçu de ce que les adversaires essaient de faire, de partager des informations sur les vulnérabilités et les opérations accusatoires, et enfin de prendre des mesures contre les groupes qui tentent d’interférer avec le vote.

Bien que cela puisse prendre la forme de cyber-opérations contre les pirates, la réponse peut être plus large. Le mois dernier, le ministère de la Justice a annoncé l’inculpation de deux pirates informatiques iraniens que le gouvernement avait identifiés comme étant à l’origine d’une tentative d’influencer les élections de 2020.

“Cela doit vraiment être un effort pangouvernemental”, a déclaré le général Nakasone. “C’est pourquoi l’effort diplomatique est important. C’est pourquoi être en mesure d’examiner un certain nombre de leviers différents au sein de notre gouvernement pour pouvoir avoir un impact sur ce type d’adversaires est essentiel à notre succès.”