Skip to content
Cyber Breaches
Recherche
EspionnageRésolu

Piratage du Comité national démocrate

Les unités 26165 (APT28) et 31165 (APT29) du GRU russe ont compromis le Comité national démocrate, la campagne de Hillary Clinton et le DCCC. Des courriels volés ont été diffusés de manière sélective via « DCLeaks », « Guccifer 2.0 » et WikiLeaks pour influencer l'élection présidentielle américaine de 2016.

Victime
Comité national démocrate + campagne Clinton + DCCC
Perte
$50.0M
données
50.0K
utilisateurs
1.0K
SecteurGouvernementMédias
PaysÉtats-Unis
GroupeAPT28 / Fancy Bear / GRU Unit 26165APT29 / Cozy Bear / SVR (parallel intrusion)

En juin 2016, le Comité national démocrate a divulgué publiquement que deux services de renseignement russes distincts — APT29 (Cozy Bear / SVR) et APT28 (Fancy Bear / GRU Unit 26165) — avaient compromis le réseau du DNC. Le matériel volé a ensuite été diffusé via trois canaux coordonnés (DCLeaks.com, Guccifer 2.0 et WikiLeaks), calibrés pour influencer l'élection présidentielle américaine de 2016.

L'opération constitue le cas de référence de l'ingérence électorale assistée par le cyber et a déclenché l'attribution publique la plus détaillée d'une activité cyber étatique russe à des officiers nommément désignés.

Ce qui s'est passé

Deux intrusions russes parallèles ont finalement été constatées comme présentes simultanément sur l'infrastructure du DNC :

APT29 (Cozy Bear / SVR)

La première intrusion. APT29 — le groupe opérationnel du service de renseignement extérieur russe — a compromis le DNC en septembre 2015 par hameçonnage ciblé. Le FBI a signalé une activité suspecte au personnel informatique du DNC cet automne-là, mais les avertissements n'ont pas atteint la direction exécutive et aucune remédiation n'a eu lieu. Les opérateurs d'APT29 ont séjourné environ six mois, récoltant identifiants et courriels à des fins de collecte de renseignement.

APT28 (Fancy Bear / GRU Unit 26165)

La seconde intrusion, débutant en mars 2016. APT28 — le groupe du renseignement militaire russe, le même acteur responsable de l'intrusion au Bundestag — a lancé une campagne d'hameçonnage ciblé contre le personnel de la campagne Clinton. Le courriel d'hameçonnage le plus cité a été envoyé à John Podesta, directeur de campagne de Clinton, le 19 mars 2016, se faisant passer pour une alerte de sécurité Google. Podesta l'a transmis à un collaborateur de campagne qui — en raison d'une coquille désormais tristement célèbre, « this is a legitimate email » au lieu de « this is NOT a legitimate email » — a conseillé à Podesta de cliquer sur le lien.

Podesta a cliqué, et ses identifiants Gmail ont été récoltés. Au cours des semaines suivantes, APT28 a exfiltré environ 50 000 courriels du compte Gmail de Podesta, en plus d'intrusions distinctes dans les infrastructures du DNC et du DCCC.

La campagne de diffusion

Contrairement aux opérations classiques de collecte de renseignement, le matériel du GRU n'a pas été conservé à des fins d'analyse. Il a au contraire été diffusé publiquement via trois canaux coordonnés :

  • DCLeaks.com — un site web exploité directement par des opérateurs du GRU (selon l'acte d'accusation Mueller), publiant des courriels et des documents volés étiquetés en vue d'un effet politique.
  • « Guccifer 2.0 » — un personnage prétendant être un pirate roumain isolé, faisant ses débuts le 15 juin 2016 spécifiquement pour contester l'attribution à l'État russe et fournir une couverture à l'opération du GRU. Une analyse forensique ultérieure a relié Guccifer 2.0 à des opérateurs du GRU via des défaillances OPSEC côté opérateur, dont un cas unique où le VPN du personnage a sauté et exposé une adresse IP moscovite.
  • WikiLeaks — le canal choisi pour les diffusions à plus fort impact. Le 22 juillet 2016, trois jours avant la convention nationale démocrate, WikiLeaks a publié ~20 000 courriels du DNC. Le 7 octobre 2016 — dans l'heure suivant la diffusion de l'enregistrement Access Hollywood qui menaçait la campagne Trump — WikiLeaks a commencé à publier les courriels de Podesta par lots, jusqu'au jour du scrutin.

Le schéma de calibrage temporel des diffusions — coordonné pour maximiser l'impact médiatique et contrebalancer les nouvelles défavorables à une campagne — constitue la preuve opérationnelle centrale d'une intention stratégique étatique plutôt que d'une divulgation hacktiviste ordinaire.

Attribution

Le rapport analytique conjoint de la communauté du renseignement américaine, publié le 6 janvier 2017, a attribué formellement l'opération aux services de renseignement russes. L'attribution publique s'est ensuite accumulée via :

  • L'enquête du procureur spécial Mueller (2017-2019), dont l'acte d'accusation du 13 juillet 2018 visant 12 officiers du GRU des unités 26165 et 74455. Parmi les officiers nommés figuraient Viktor Borisovich Netyksho, Boris Antonov, Dmitriy Badin, Ivan Yermakov, Aleksey Lukashev, Sergey Morgachev, Nikolay Kozachek (unité 26165) et cinq officiers affiliés à Sandworm de l'unité 74455.
  • Le rapport bipartite du cinquième volume de la commission spéciale du renseignement du Sénat (août 2020), le compte rendu public le plus détaillé de l'opération.
  • Des analyses techniques indépendantes de CrowdStrike, FireEye, Mandiant, Symantec et ESET corroborant l'attribution au GRU.

Le même Dmitri Badin nommé dans l'acte d'accusation du DNC est l'officier du GRU pour lequel l'Allemagne a par la suite émis un mandat d'arrêt pour l'intrusion au Bundestag.

Impact

  • ~50 000 courriels de Podesta + ~20 000 courriels du DNC + matériel du DCCC diffusés publiquement.
  • La campagne de Hillary Clinton perturbée à plusieurs points d'inflexion de la campagne de 2016 par des courriels diffusés sélectivement.
  • Réponse politique américaine : sanctions complètes contre les services de renseignement russes et les officiers nommés (administration Obama, décembre 2016 ; étendues sous les administrations Trump et Biden).
  • Coût opérationnel pour le DNC et la campagne Clinton : ~50 M$ en remédiation, impact sur l'image et perturbation de la campagne.

L'effet stratégique de l'opération sur le résultat de l'élection de 2016 est contesté et ne saurait être tranché ici. Son succès opérationnel à pénétrer, exfiltrer et diffuser stratégiquement du matériel contre des campagnes politiques américaines est établi de manière factuelle.

Pourquoi c'est important

L'opération du DNC est le cas de référence de l'ingérence électorale étatique assistée par le cyber. Elle a établi :

  • Que les services de renseignement russes déploieraient des capacités cyber sur le plan opérationnel pour influencer les résultats électoraux occidentaux. L'opération du DNC a été suivie d'opérations similaires en France (2017, piratage et fuite de la campagne Macron), en Allemagne (élection de 2017, contenue mais tentée), au Royaume-Uni (multiples incidents 2017-2024) et lors des élections américaines de 2020 et 2024, avec des signatures opérationnelles réduites mais persistantes.
  • Que deux services russes parallèles (APT29 du SVR et APT28 du GRU) opérant contre la même cible sans se coordonner constituent le schéma opérationnel russe typique. La capacité cyber russe est répartie entre plusieurs services qui se concurrencent et se chevauchent.
  • Que la militarisation de données fuitées via des canaux écrans (Guccifer 2.0, DCLeaks) est une technique étatique pérenne. Le schéma se répète dans les opérations ultérieures.
  • Que l'attribution publique détaillée via un acte d'accusation du DOJ est un levier politique américain viable même lorsque les officiers nommés sont hors de portée d'extradition. L'acte d'accusation Mueller de 2018 visant 12 officiers du GRU a posé le modèle des officiers de l'APL dans l'affaire Equifax (2020), des Sandworm Six (2020) et des actes d'accusation ultérieurs visant des acteurs étatiques nommés.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
50.0M
USD · 50 000 000 $US
  • Perte d’exploitation$30.0M
  • Remédiation$20.0M

Chronologie

  1. APT29 (Cozy Bear / SVR) compromet l'infrastructure du DNC par hameçonnage ciblé. Le FBI signale au DNC une activité suspecte, mais les avertissements parviennent au service d'assistance informatique du DNC plutôt qu'à la direction exécutive.

  2. Les opérateurs d'APT29 séjournent sans entrave sur l'infrastructure du DNC pendant ~6 mois, récoltant identifiants et courriels.

  3. APT28 (Fancy Bear / GRU Unit 26165) envoie un courriel d'hameçonnage ciblé à John Podesta (directeur de campagne de Clinton) se faisant passer pour une alerte de sécurité Google. Podesta le transmet à un collaborateur de campagne qui conseille de cliquer sur le lien ; les identifiants sont récoltés.

  4. Les opérateurs d'APT28 accèdent au compte Gmail de Podesta et exfiltrent ~50 000 courriels. Un accès parallèle est établi aux réseaux du DNC et du DCCC.

  5. Le DNC mandate CrowdStrike pour enquêter. CrowdStrike identifie APT28 et APT29 comme présents simultanément sur l'infrastructure du DNC.

  6. Le DNC divulgue publiquement l'intrusion. CrowdStrike publie une attribution technique à des acteurs étatiques russes.

  7. Le personnage « Guccifer 2.0 » apparaît, revendiquant la paternité exclusive et contestant l'attribution à l'État russe. Une analyse forensique ultérieure relie Guccifer 2.0 à des opérateurs du GRU sur la base de défaillances OPSEC côté opérateur.

  8. « DCLeaks.com » (exploité par le GRU) et WikiLeaks (canal privilégié pour le matériel du GRU) diffusent des lots de courriels du DNC, du DCCC et de Podesta, calibrés pour maximiser l'impact sur la campagne présidentielle américaine.

  9. La communauté du renseignement américaine publie un rapport analytique conjoint attribuant formellement l'opération aux services de renseignement russes.

  10. Le procureur spécial Robert Mueller inculpe 12 officiers du GRU (7 de l'unité 26165, 5 de l'unité 74455) pour l'opération.

  11. La commission spéciale du renseignement du Sénat américain publie le cinquième volume bipartite de 1 300 pages de son enquête sur la Russie, fournissant le compte rendu public le plus détaillé de l'opération.

Sources

  1. justice.govhttps://www.justice.gov/file/1080281/download
  2. dni.govhttps://www.dni.gov/files/documents/ICA_2017_01.pdf
  3. intelligence.senate.govhttps://www.intelligence.senate.gov/sites/default/files/documents/Report_Volume5.pdf

Incidents liés

EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)