Cyberattaque sur Colonial Pipeline: mise hors service de DarkSide du net

La cyberattaque par un rançongiciel du principal fournisseur de carburants a provoqué une pénurie de produits pétroliers dans les villes de la Côte Est des Etats-Unis. (Photo, AFP)
La cyberattaque par un rançongiciel du principal fournisseur de carburants a provoqué une pénurie de produits pétroliers dans les villes de la Côte Est des Etats-Unis. (Photo, AFP)
Short Url
Publié le Samedi 15 mai 2021

Cyberattaque sur Colonial Pipeline: mise hors service de DarkSide du net

  • Le hacker ayant réclamé une rançon à Colonial Pipeline aurait admis que son groupe DarkSide avait perdu l'accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer
  • Accessible via le navigateur TOR sur le dark web, la version clandestine d'internet, le site de DarkSide était inaccessible vendredi matin

NEW YORK : L'étau semblait se resserrer vendredi autour des pirates informatiques de DarkSide à l'origine de la cyberattaque contre l'opérateur d'oléoducs américain Colonial Pipeline: des experts affirment que ses serveurs ont été mis hors service et que ses messages ont même été supprimés par une importante communauté de cybercriminels russes.

Selon la firme de cybersécurité Recorded Future, le hacker ayant réclamé une rançon à Colonial Pipeline a admis que son groupe DarkSide avait perdu l'accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer. 

Accessible via le navigateur TOR sur le dark web, la version clandestine d'internet, le site de DarkSide était inaccessible vendredi matin.

« Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure, à savoir notre blog, notre serveur de paiement et nos serveurs DoS », a écrit dans un article un pirate utilisant le pseudonyme Darksupp, cité par Recorded Future.

Les attaques par déni de service (Denial of Service ou DoS en anglais) visent à provoquer la fermeture d'un site web en le surchargeant de trafic.

Darksupp a aussi indiqué que des fonds en cryptomonnaie, utilisés pour le règlement des rançons exigées par le groupe de hackers, avaient été retirés.

Un analyste de Recorded Future estime toutefois possible que les aveux de DarkSide soient un subterfuge permettant au groupe de fermer lui-même ses infrastructures pour éviter d'avoir à payer ses associés.

Kimberly Goody, responsable de l'analyse des crimes financiers chez Mandiant, une filiale du géant américain de la cybersécurité FireEye, a déclaré dans un communiqué transmis à l'AFP que son entreprise « n'avait pas pu valider de manière indépendante les affirmations » sur le démantèlement de DarkSide.

« Certaines spéculations d'autres acteurs indiquent qu'il pourrait s'agir d'une escroquerie de sortie (exit scam) », ajoute-t-elle en référence à un stratagème visant à faire croire à une fermeture pour conserver l'essentiel du butin.

DarkSide banni d'un forum russe

En début de semaine, le président américain Joe Biden avait accusé des pirates « basés en Russie » d'avoir mené l'attaque contre Colonial Pipeline vendredi dernier sans pour autant affirmer que Moscou était directement impliqué.

M. Biden a affirmé jeudi être « en communication directe avec Moscou au sujet de la nécessité pour les pays responsables de prendre des mesures décisives contre ces réseaux de rançongiciels ».

Auditionné par un groupe parlementaire vendredi, le général Paul M. Nakasone, directeur du commandement interarmées en charge de la cybersécurité (USCYBERCOM) et de la National Security Agency (NSA), a assuré que son rôle était « de soumettre une série d'opportunités opérationnelles ou de plans d'actions que le secrétaire d'Etat ou le président peuvent considérer. »

Par ailleurs, toutes les publications de DarkSide sur le forum russophone de cybercriminels XSS ont été supprimées, selon les chercheurs de la plateforme de protection contre les risques numériques Dark Shadows.

En revanche, les annonces de recrutement du groupe criminel sur une autre plateforme de langue russe prisée des hackers, Exploit, étaient toujours en ligne, mais elles n'ont pas été mises à jour depuis avril et ne font aucune référence à l'attaque contre Colonial Pipeline.

Selon des informations de Bloomberg et d'autres médias américains, Colonial Pipeline aurait payé 5 millions de dollars aux pirates. Interrogé par l'AFP, un porte-parole de Colonial Pipeline n'a pas fait de commentaire, indiquant seulement qu'il y avait une enquête en cours.

L'administration Biden s'est aussi abstenue de commenter tout en soulignant que les compagnies devaient renforcer leur sécurité informatique.

Selon le site Elliptic, qui suit l'utilisation criminelle de cryptoactifs, le portefeuille de bitcoins de DarkSide a été crédité de 75 BTC (environ 4,4 millions de dollars) le 8 mai, au lendemain de l'attaque contre Colonial Pipeline.

Au total, le groupe a reçu l'équivalent de 17,5 millions de dollars depuis début mars, assure également Elliptic.

L'attaque contre les systèmes informatiques de Colonial Pipeline, qui transporte près de la moitié des produits pétroliers américains depuis le Golfe du Mexique vers la côte est des Etats-Unis, a forcé l'opérateur à fermer l'ensemble de ses opérations.

Cela a provoqué un mouvement de panique chez de nombreux automobilistes, craignant une pénurie d'essence et se ruant vers les stations-service.

Colonial Pipeline a toutefois affirmé jeudi soir avoir relancé l'ensemble

 


Nouvelle date pour la conférence sur l’État palestinien relancée par la France et l’Arabie saoudite

Un drapeau palestinien flotte face aux colonies israéliennes en Cisjordanie occupée. La conférence franco-saoudienne sur la création d'un État palestinien, qui avait été reportée, a été reprogrammée pour les 28 et 29 juillet. (AFP/File Photo)
Un drapeau palestinien flotte face aux colonies israéliennes en Cisjordanie occupée. La conférence franco-saoudienne sur la création d'un État palestinien, qui avait été reportée, a été reprogrammée pour les 28 et 29 juillet. (AFP/File Photo)
Short Url
  • Initialement prévue du 17 au 20 juin, la conférence a été reportée après le lancement par Israël, le 13 juin, d'une guerre de 12 jours contre l'Iran
  • L'objectif de la conférence, reprogrammée pour les 28 et 29 juillet, est l'adoption urgente de mesures concrètes conduisant à la mise en œuvre d'une solution à deux États

NEW YORK : Une conférence internationale organisée et coprésidée par l'Arabie saoudite et la France pour discuter de la création d'un État palestinien, qui avait été reportée le mois dernier, a été reprogrammée pour la fin du mois.

"La conférence ministérielle sur la solution des deux États reprendra les 28 et 29 juillet ; les détails seront communiqués sous peu", ont confirmé des diplomates à Arab News vendredi.

Initialement prévu du 17 au 20 juin, l'événement, officiellement intitulé "Conférence internationale de haut niveau pour le règlement pacifique de la question de Palestine et la mise en œuvre de la solution à deux États", a été reporté après le lancement par Israël, le 13 juin, de son opération militaire de 12 jours contre l'Iran.

L'événement, convoqué par l'Assemblée générale des Nations unies, aura lieu au siège des Nations unies à New York. L'objectif est l'adoption urgente de mesures concrètes qui conduiront à la mise en œuvre d'une solution à deux États et mettront fin à des décennies de conflit entre Israéliens et Palestiniens.

Au moment du report, le mois dernier, le président français Emmanuel Macron avait déclaré que la conférence était repoussée pour des raisons logistiques et de sécurité, mais avait insisté sur le fait qu'elle se tiendrait "dès que possible".

Ce report ne "remet pas en cause notre détermination à aller de l'avant dans la mise en œuvre de la solution des deux États", avait-il ajouté

M. Macron devrait annoncer officiellement la reconnaissance par la France d'un État palestinien lors de cet événement. Cette semaine, il a exhorté les autorités britanniques à faire de même.

La Palestine est officiellement reconnue par 147 des 193 États membres de l'ONU. Elle bénéficie du statut d'observateur au sein de l'organisation, mais n'en est pas membre à part entière.

Lors d'une réunion préparatoire des Nations unies en mai, Manal Radwan, conseillère au ministère saoudien des affaires étrangères, a déclaré que la conférence intervenait à un moment "d'urgence historique", alors que Gaza "endurait des souffrances inimaginables".

Elle a déclaré que l'Arabie saoudite était honorée de se tenir aux côtés des autres nations engagées dans des efforts diplomatiques pour apporter "un changement réel, irréversible et transformateur, afin d'assurer, une fois pour toutes, le règlement pacifique de la question de la Palestine".

Ce texte est la traduction d’un article paru sur Arabnews.com


Russie: le suicide apparent d'un ministre sème la peur au sein de l'élite

Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin. (AFP)
Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin. (AFP)
Short Url
  • Si les circonstances de la mort de Roman Starovoït, âgé de 53 ans, restent floues, les médias russes ont évoqué une enquête pour corruption le visant, assurant qu'il devait être arrêté prochainement
  • Limogé par le président Vladimir Poutine, il s'est probablement donné la mort, selon les premiers résultats de l'enquête, qui est en cours

SAINT-PETERSBOURG: Le suicide probable du ministre russe des Transports, Roman Starovoït, annoncé peu après son limogeage lundi par Vladimir Poutine sur fond d'allégations de corruption, a profondément choqué l'élite politique, où chacun redoute de faire les frais de la chasse aux profiteurs.

Ses funérailles ont eu lieu vendredi dans un cimetière de Saint-Pétersbourg en présence de sa famille et de collègues, mais en l'absence de M. Poutine qui n'a pas non plus participé à la cérémonie d'adieu jeudi.

Si les circonstances de la mort de Roman Starovoït, âgé de 53 ans, restent floues, les médias russes ont évoqué une enquête pour corruption le visant, assurant qu'il devait être arrêté prochainement.

Limogé par le président Vladimir Poutine, il s'est probablement donné la mort, selon les premiers résultats de l'enquête, qui est en cours.

"C'est une grande perte pour nous, très inattendue. Nous sommes tous choqués", a déclaré à l'AFP Vassilissa, 42 ans, l'épouse d'un collègue de M. Starovoït, lors de la cérémonie de jeudi.

"Il était tellement actif, joyeux, il aimait énormément la vie. Je ne comprends pas comment cela a pu arriver", ajoute cette femme, les larmes aux yeux.

Après avoir déposé devant le cercueil de grands bouquets de roses rouges, des anciens collègues de M. Starovoït, en costumes sombres, sont repartis très vite dans leurs luxueuses voitures noires.

Dans une ambiance très lourde rappelant les funérailles dans le film culte "Le Parrain" de Francis Ford Coppola, d'autres personnes interrogées par les journalistes de l'AFP dans la foule ont refusé de parler.

"Bouc émissaire" 

Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin.

Son successeur à la tête de cette région, Alexeï Smirnov, a lui été arrêté au printemps pour le détournement des fonds destinés à renforcer les fortifications à la frontière. Celle-là même que les Ukrainiens ont traversé facilement, pour n'être repoussés que neuf mois plus tard.

Les autorités "ont essayé de faire de lui (Roman Starovoït) un bouc émissaire", accuse auprès de l'AFP Andreï Pertsev, analyste du média indépendant Meduza, reconnu "indésirable" et interdit en Russie.

L'incursion ukrainienne "s'est principalement produite parce qu'il n'y avait pas assez de soldats pour protéger la frontière", mais c'était "plus facile de rejeter la faute sur un responsable civil", explique-t-il.

L'affaire Starovoït s'inscrit dans une vague récente de répression visant de hauts responsables soupçonnés de s'être enrichis illégalement pendant l'offensive russe en Ukraine. Et selon des analystes, si les scandales de corruption on toujours existé en Russie, la campagne militaire a changé les règles du jeu politique.

"Il existait des règles auparavant, selon lesquelles les gens savaient: une fois qu'ils montaient suffisamment haut, on ne les embêtait plus", estime M. Pertsev. "Mais elles ne fonctionnent plus."

"On ne vole pas" 

Alors que Vladimir Poutine promettait régulièrement de s'attaquer à la corruption - étant lui même accusé de s'être enrichi illégalement par ses détracteurs -, les rares arrestations médiatisées ont été davantage utilisées pour cibler des opposants ou résultaient de luttes internes entre les échelons inférieurs du pouvoir en Russie.

Depuis l'offensive en Ukraine lancée en février 2022, "quelque chose dans le système a commencé à fonctionner de manière complètement différente", souligne la politologue Tatiana Stanovaïa du Centre Carnegie Russie Eurasie, interdit en Russie en tant qu'organisation "indésirable".

"Toute action ou inaction qui, aux yeux des autorités, accroît la vulnérabilité de l'État face aux actions hostiles de l'ennemi doit être punie sans pitié et sans compromis", estime Mme Stanovaïa en définissant la nouvelle approche du pouvoir.

Pour le Kremlin, la campagne en Ukraine est une "guerre sainte" qui a réécrit les règles, confirme Nina Khrouchtcheva, professeure à The New School, une université de New York, et arrière-petite-fille du dirigeant soviétique Nikita Khrouchtchev.

"Pendant une guerre sainte, on ne vole pas (...) on se serre la ceinture et on travaille 24 heures sur 24", résume-t-elle.

Signe des temps, plusieurs généraux et responsables de la Défense ont été arrêtés pour des affaires de détournement de fonds ces dernières années. Début juillet, l'ancien vice-ministre de la Défense Timour Ivanov a été condamné à 13 ans de prison.

Cette ambiance, selon Mme Stanovaïa, a créé un "sentiment de désespoir" au sein de l'élite politique à Moscou, qui est peu susceptible de s'atténuer.

"À l'avenir, le système sera prêt à sacrifier des figures de plus en plus en vue," avertit-elle.

 


Un trafic de stupéfiants démantelé entre Espagne et France, 13 arrestations

reize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police. (AFP)
reize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police. (AFP)
Short Url
  • 2,4 tonnes de résine de cannabis ont été saisies par les enquêteurs de Office anti-stupéfiants (OFAST) de la police judiciaire de Lyon, qui ont mené ces opérations
  • Dans cette première phase, les 11 suspects ont été mis en examen et sont, depuis, en détention provisoire, selon la DIPN

LYON: Treize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police.

Onze suspects ont été interpellés entre décembre 2023 et juillet 2024, notamment grâce à l'interception par les policiers de deux poids-lourds et d'un convoi de voitures "entre la région lyonnaise et le Gard", "au moment où les stupéfiants étaient remis à des équipes locales", explique la Direction interdépartementale de la police (DIPN) du Rhône dans un communiqué.

Dans le même laps de temps, 2,4 tonnes de résine de cannabis ont été saisies par les enquêteurs de Office anti-stupéfiants (OFAST) de la police judiciaire de Lyon, qui ont mené ces opérations.

Dans cette première phase, les 11 suspects ont été mis en examen et sont, depuis, en détention provisoire, selon la DIPN.

Puis l'enquête a permis l'interpellation, le 30 juin dernier, d'un homme "soupçonné d'être le donneur d'ordres" et, le lendemain, d'un autre suspect, "fugitif condamné en 2016" à sept ans de prison pour trafic de stupéfiants. A son domicile dans l'Ain, "54 kg de cocaïne et plusieurs dizaines de milliers d'euros" ont été saisis, précise le communiqué qui n'en dit pas plus sur le profil de ces hommes. Ils ont été mis en examen le 4 juillet et placés en détention provisoire.

La police considère ainsi avoir réussi le "démantèlement de ce groupe criminel organisé (...) réalisant des importations de stupéfiants depuis l'Espagne vers la région Auvergne-Rhône-Alpes" pour des "quantités importantes".