Pendant des années, les groupes cybercriminels russes ont agi avec une relative impunité. Le Kremlin et les forces de l’ordre locales ont largement fermé les yeux sur les attaques de ransomwares perturbatrices tant qu’elles ne ciblaient pas les entreprises russes. Malgré la pression directe exercée sur Vladimir Poutine pour qu’il s’attaque aux groupes de rançongiciels, ils sont toujours intimement liés aux intérêts de la Russie. Une fuite récente de l’un des groupes les plus notoires de ce type donne un aperçu de la nature de ces liens – et à quel point ils peuvent être ténus.

Un cache de 60 000 messages de discussion et fichiers divulgués du célèbre groupe de rançongiciels Conti donne un aperçu de la façon dont le gang criminel est bien connecté en Russie. Les documents, revus par WIRED et mis en ligne pour la première fois fin février par un chercheur ukrainien anonyme en cybersécurité ayant infiltré le groupe, montrent comment Conti opère au quotidien et ses ambitions crypto. Ils révèlent probablement en outre comment les membres de Conti ont des liens avec le Service fédéral de sécurité (FSB) et une connaissance aiguë des opérations des pirates militaires soutenus par le gouvernement russe.

Alors que le monde luttait pour faire face à l’épidémie et aux premières vagues de la pandémie de COVID-19 en juillet 2020, les cybercriminels du monde entier ont tourné leur attention vers la crise sanitaire. Le 16 juillet de cette année-là, les gouvernements du Royaume-Uni, des États-Unis et du Canada ont publiquement dénoncé les pirates militaires russes soutenus par l’État pour avoir tenté de voler la propriété intellectuelle liée aux premiers vaccins candidats. Le groupe de piratage Cozy Bear, également connu sous le nom de Advanced Persistent Threat 29 (APT29), attaquait les entreprises pharmaceutiques et les universités en utilisant des logiciels malveillants modifiés et des vulnérabilités connues, ont déclaré les trois gouvernements.

Quelques jours plus tard, les dirigeants de Conti ont parlé du travail de Cozy Bear et ont fait référence à ses attaques de ransomware. Stern, la figure de PDG de Conti, et le professeur, un autre membre senior du gang, ont parlé de la création d’un bureau spécifique pour les « sujets gouvernementaux ». Les détails ont été rapportés pour la première fois par WIRED en février, mais sont également inclus dans les fuites plus larges de Conti. Dans la même conversation, Stern a déclaré qu’ils avaient quelqu’un « de l’extérieur » qui a payé le groupe (bien qu’il ne soit pas précisé pourquoi) et a discuté de la prise en charge des cibles de la source. « Ils veulent beaucoup de Covid en ce moment », a déclaré le professeur à Stern. « Les oursons douillets sont déjà en train de se frayer un chemin dans la liste. »

« Ils font référence à la mise en place d’un projet à long terme et rejettent apparemment cette idée qu’ils [the external party] aiderait à l’avenir », déclare Kimberly Goody, directrice de l’analyse de la cybercriminalité au sein de la société de sécurité Mandiant. « Nous pensons que c’est une référence si des mesures d’application de la loi seraient prises contre eux, que cette partie externe pourrait être en mesure de les aider avec cela. » Goody souligne que le groupe mentionne également l’avenue Liteyny à Saint-Pétersbourg, le siège des bureaux locaux du FSB.

Bien que les preuves des liens directs de Conti avec le gouvernement russe restent insaisissables, les activités du gang continuent de s’aligner sur les intérêts nationaux. « L’impression des discussions divulguées est que les dirigeants de Conti ont compris qu’ils étaient autorisés à opérer tant qu’ils suivaient les directives tacites du gouvernement russe », explique Allan Liska, analyste pour la société de sécurité Recorded Future. « Il semble y avoir eu au moins quelques lignes de communication entre le gouvernement russe et les dirigeants de Conti. »