Cyberattaque sur Colonial Pipeline: mise hors service de DarkSide du net

La cyberattaque par un rançongiciel du principal fournisseur de carburants a provoqué une pénurie de produits pétroliers dans les villes de la Côte Est des Etats-Unis. (Photo, AFP)
La cyberattaque par un rançongiciel du principal fournisseur de carburants a provoqué une pénurie de produits pétroliers dans les villes de la Côte Est des Etats-Unis. (Photo, AFP)
Short Url
Publié le Samedi 15 mai 2021

Cyberattaque sur Colonial Pipeline: mise hors service de DarkSide du net

  • Le hacker ayant réclamé une rançon à Colonial Pipeline aurait admis que son groupe DarkSide avait perdu l'accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer
  • Accessible via le navigateur TOR sur le dark web, la version clandestine d'internet, le site de DarkSide était inaccessible vendredi matin

NEW YORK : L'étau semblait se resserrer vendredi autour des pirates informatiques de DarkSide à l'origine de la cyberattaque contre l'opérateur d'oléoducs américain Colonial Pipeline: des experts affirment que ses serveurs ont été mis hors service et que ses messages ont même été supprimés par une importante communauté de cybercriminels russes.

Selon la firme de cybersécurité Recorded Future, le hacker ayant réclamé une rançon à Colonial Pipeline a admis que son groupe DarkSide avait perdu l'accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer. 

Accessible via le navigateur TOR sur le dark web, la version clandestine d'internet, le site de DarkSide était inaccessible vendredi matin.

« Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure, à savoir notre blog, notre serveur de paiement et nos serveurs DoS », a écrit dans un article un pirate utilisant le pseudonyme Darksupp, cité par Recorded Future.

Les attaques par déni de service (Denial of Service ou DoS en anglais) visent à provoquer la fermeture d'un site web en le surchargeant de trafic.

Darksupp a aussi indiqué que des fonds en cryptomonnaie, utilisés pour le règlement des rançons exigées par le groupe de hackers, avaient été retirés.

Un analyste de Recorded Future estime toutefois possible que les aveux de DarkSide soient un subterfuge permettant au groupe de fermer lui-même ses infrastructures pour éviter d'avoir à payer ses associés.

Kimberly Goody, responsable de l'analyse des crimes financiers chez Mandiant, une filiale du géant américain de la cybersécurité FireEye, a déclaré dans un communiqué transmis à l'AFP que son entreprise « n'avait pas pu valider de manière indépendante les affirmations » sur le démantèlement de DarkSide.

« Certaines spéculations d'autres acteurs indiquent qu'il pourrait s'agir d'une escroquerie de sortie (exit scam) », ajoute-t-elle en référence à un stratagème visant à faire croire à une fermeture pour conserver l'essentiel du butin.

DarkSide banni d'un forum russe

En début de semaine, le président américain Joe Biden avait accusé des pirates « basés en Russie » d'avoir mené l'attaque contre Colonial Pipeline vendredi dernier sans pour autant affirmer que Moscou était directement impliqué.

M. Biden a affirmé jeudi être « en communication directe avec Moscou au sujet de la nécessité pour les pays responsables de prendre des mesures décisives contre ces réseaux de rançongiciels ».

Auditionné par un groupe parlementaire vendredi, le général Paul M. Nakasone, directeur du commandement interarmées en charge de la cybersécurité (USCYBERCOM) et de la National Security Agency (NSA), a assuré que son rôle était « de soumettre une série d'opportunités opérationnelles ou de plans d'actions que le secrétaire d'Etat ou le président peuvent considérer. »

Par ailleurs, toutes les publications de DarkSide sur le forum russophone de cybercriminels XSS ont été supprimées, selon les chercheurs de la plateforme de protection contre les risques numériques Dark Shadows.

En revanche, les annonces de recrutement du groupe criminel sur une autre plateforme de langue russe prisée des hackers, Exploit, étaient toujours en ligne, mais elles n'ont pas été mises à jour depuis avril et ne font aucune référence à l'attaque contre Colonial Pipeline.

Selon des informations de Bloomberg et d'autres médias américains, Colonial Pipeline aurait payé 5 millions de dollars aux pirates. Interrogé par l'AFP, un porte-parole de Colonial Pipeline n'a pas fait de commentaire, indiquant seulement qu'il y avait une enquête en cours.

L'administration Biden s'est aussi abstenue de commenter tout en soulignant que les compagnies devaient renforcer leur sécurité informatique.

Selon le site Elliptic, qui suit l'utilisation criminelle de cryptoactifs, le portefeuille de bitcoins de DarkSide a été crédité de 75 BTC (environ 4,4 millions de dollars) le 8 mai, au lendemain de l'attaque contre Colonial Pipeline.

Au total, le groupe a reçu l'équivalent de 17,5 millions de dollars depuis début mars, assure également Elliptic.

L'attaque contre les systèmes informatiques de Colonial Pipeline, qui transporte près de la moitié des produits pétroliers américains depuis le Golfe du Mexique vers la côte est des Etats-Unis, a forcé l'opérateur à fermer l'ensemble de ses opérations.

Cela a provoqué un mouvement de panique chez de nombreux automobilistes, craignant une pénurie d'essence et se ruant vers les stations-service.

Colonial Pipeline a toutefois affirmé jeudi soir avoir relancé l'ensemble

 


Le chef de la diplomatie iranienne se rend à Oman au sujet du détroit d'Ormuz

La visite sera axée sur le détroit d'Ormuz et la sécurité de la navigation, a rapporté l'agence de presse officielle iranienne. (AFP)
La visite sera axée sur le détroit d'Ormuz et la sécurité de la navigation, a rapporté l'agence de presse officielle iranienne. (AFP)
  • Abbas Araghchi se rend à Oman pour des discussions sur le détroit d'Ormuz et la sécurité maritime
  • Malgré le cessez-le-feu avec Washington, le contrôle du détroit d'Ormuz reste une source de tensions

TEHERAN: Le chef de la diplomatie iranienne Abbas Araghchi va se rendre samedi à Oman pour une visite axée "sur le détroit d'Ormuz et la sécurité maritime", a annoncé son porte-parole.

La visite "portera principalement sur le détroit d'Ormuz et la sécurité maritime" et s'inscrit "dans le prolongement des consultations que nous avons entamées avec Oman depuis un mois ou deux", a déclaré le porte-parole du ministère des Affaires étrangères, Esmaïl Baghaï, selon des propos rapportés par l'agence de presse officielle iranienne IRNA.

Malgré l'accord conclu le 17 juin entre les Etats-Unis et l'Iran pour mettre fin à la guerre déclenchée fin février par des attaques américano-israéliennes, la question du détroit demeure un point de contentieux majeur.

L'Iran a profité du conflit pour prendre le contrôle de ce point de passage clef pour le commerce mondial des hydrocarbures et refuse de revenir à la situation antérieure.

Téhéran veut imposer des droits de passage sur les bateaux et autorise uniquement une route longeant ses côtes, dans le nord. Des navires passant au sud, au large d'Oman, ont récemment été attaqués, ce qui a déclenché une reprise des hostilités avec les Etats-Unis.

En mai, le président Donald Trump avait menacé à la surprise générale de "pulvériser" le sultanat d'Oman s'il continuait de discuter avec Téhéran d'une gestion commune du détroit.

"Plusieurs séries de réunions techniques ont eu lieu jusqu'à présent, tant à Téhéran qu'à Mascate, et ce déplacement s'inscrit dans le prolongement de ces consultations, afin de contribuer à faciliter la circulation en toute sécurité dans le détroit d'Ormuz", a également fait savoir le porte-parole de la diplomatie iranienne.


Le prince héritier saoudien et Trump évoquent les pourparlers entre Washington et Téhéran et la sécurité dans le Golfe

  • Les dirigeants mettent l’accent sur la diplomatie et la sécurité maritime dans un contexte de regain des tensions au Moyen-Orient
  • Le ministre saoudien des Affaires étrangères et Marco Rubio discutent de leur coordination alors que les tensions entre Washington et Téhéran persistent

RIYAD : Le prince héritier d’Arabie saoudite, Mohammed ben Salmane, et le président américain Donald Trump ont discuté vendredi, lors d’un entretien téléphonique, de la sécurité régionale, de la liberté de navigation maritime et des contacts en cours entre les États-Unis et l’Iran, alors que Riyad et Washington renforcent leur coordination diplomatique à la suite d’une nouvelle montée des tensions dans le Golfe.

Selon l’Agence de presse saoudienne (SPA), les deux dirigeants ont passé en revue la coopération bilatérale et les moyens de renforcer les relations dans divers secteurs. Ils ont également échangé leurs points de vue sur les évolutions régionales et internationales, notamment sur les discussions entre Washington et Téhéran.

Le prince héritier et Donald Trump ont souligné l’importance de garantir la sécurité de la navigation maritime, de protéger les voies maritimes internationales et de soutenir les efforts visant à renforcer la sécurité et la stabilité régionales.

Par ailleurs, le ministre saoudien des Affaires étrangères, le prince Faisal ben Farhane, s’est entretenu par téléphone avec le secrétaire d’État américain Marco Rubio. Les deux responsables ont réaffirmé l’importance de poursuivre la coordination et les consultations afin de promouvoir la sécurité et la stabilité dans l’ensemble de la région, a rapporté la SPA.

Ces échanges interviennent après une nouvelle escalade entre les États-Unis et l’Iran, qui menace de compromettre les récents efforts diplomatiques visant à mettre fin à plusieurs mois d’hostilités.

La dernière crise a éclaté après que des forces iraniennes ont attaqué des pétroliers commerciaux transitant par le détroit d’Ormuz, malgré un accord de cessez-le-feu, entraînant des frappes aériennes américaines contre des cibles situées en Iran. Téhéran a ensuite riposté par des attaques de missiles et de drones contre des alliés des États-Unis dans le Golfe, ravivant les craintes d’un conflit régional de plus grande ampleur.

Cette reprise des violences a intensifié les appels de la communauté internationale en faveur d’un retour des États-Unis et de l’Iran à la table des négociations.

L’Égypte et le Qatar ont exhorté les deux parties à reprendre le dialogue et à mettre en œuvre le protocole d’accord conclu plus tôt cette année comme base d’un règlement plus large, tandis que le Pakistan a appelé à la retenue et proposé de poursuivre son rôle de médiateur entre les deux pays.

Vendredi, Donald Trump a déclaré que les États-Unis avaient accepté de poursuivre les discussions avec l’Iran, tout en estimant que le cessez-le-feu était, dans les faits, caduc après les derniers échanges d’attaques.

L’Arabie saoudite a constamment appelé à la retenue, au dialogue et à des solutions diplomatiques afin de préserver la stabilité régionale et de garantir la sécurité des routes maritimes internationales, en particulier à travers le détroit d’Ormuz, l’un des corridors énergétiques les plus stratégiques au monde. 

Ce texte est la traduction d’un article paru sur Arabnews.com


Attaques de drones sur des infrastructures pétrolières en Russie, une raffinerie en feu

Un véhicule de recrutement militaire renversé à Lviv, à la suite des troubles qui ont éclaté après que des officiers ont interpellé un homme soupçonné de se soustraire au service militaire et l'ont conduit dans un centre de recrutement le 8 juillet 2026, dans le contexte de l'invasion russe de l'Ukraine. (Photo : document fourni / Bureau du procureur général ukrainien / AFP)
Un véhicule de recrutement militaire renversé à Lviv, à la suite des troubles qui ont éclaté après que des officiers ont interpellé un homme soupçonné de se soustraire au service militaire et l'ont conduit dans un centre de recrutement le 8 juillet 2026, dans le contexte de l'invasion russe de l'Ukraine. (Photo : document fourni / Bureau du procureur général ukrainien / AFP)
  • Le gouverneur de la région de Rostov, Iouri Slioussar, également dans le sud de la Russie, a indiqué que deux installations de stockage d'hydrocarbures à Azov avaient pris feu, suite à des frappes
  • Ces nouvelles attaques contre des infrastructures pétrolières interviennent au moment où le pays connaît des difficultés d'approvisionnement en carburant, qui sont particulièrement sévères dans la péninsule de Crimée voisine

MOSCOU: Des attaques de drones ont visé plusieurs infrastructures pétrolières dans le sud de la Russie vendredi, déclenchant un incendie dans une raffinerie de la région de Krasnodar, ont indiqué les autorités, faisant état de la destruction de 376 drones ukrainiens dans la nuit.

"A la suite de la chute de débris de drones, un incendie s’est déclaré à la raffinerie d'Ilskiï", a indiqué le quartier général opérationnel de la région de Krasnodar sur Telegram, précisant qu'il n'y a pas eu de victimes.

Le gouverneur de la région de Rostov, Iouri Slioussar, également dans le sud de la Russie, a indiqué que deux installations de stockage d'hydrocarbures à Azov avaient pris feu, suite à des frappes.

Ces nouvelles attaques contre des infrastructures pétrolières interviennent au moment où le pays connaît des difficultés d'approvisionnement en carburant, qui sont particulièrement sévères dans la péninsule de Crimée voisine.

Entre 20H00 locales jeudi et vendredi 7H00, les forces russes ont détruit 376 drones ukrainiens, a précisé le ministère russe de la Défense sur la messagerie Max.

La Russie continue de frapper presque quotidiennement l'Ukraine, plus de quatre ans après le début de la guerre, pire conflit en Europe depuis la Deuxième Guerre mondiale, jusqu'à présent sans issue diplomatique.

L'Ukraine a également intensifié ses frappes sur le territoire russe, parfois très loin de la frontière, visant particulièrement des infrastructures de transport et de stockage d'hydrocarbures pour tenter d'assécher la capacité de Moscou à financer son effort de guerre.