Tomiris, les hackers venus des steppes
Alors que l'attention des acteurs de la cybersécurité est concentrée sur la guerre en Ukraine, un groupe de hackers s'en prend aux services étatiques des Etats de la Communauté des Etats Indépendants (CEI). La CEI a été fondée à la fin de l'URSS, et elle se compose des anciennes républiques soviétiques : Russie, Biélorussie, Moldavie, Arménie, Azerbaïdjan, Géorgie, Ouzbékistan, Kazakhstan, Tadjikistan, Kirghizstan et Turkménistan. L'Ukraine a quitté l'organisation en 2018.
Ces pays qui, jusqu'à présent, étaient considérés comme unis sous le patronage du grand frère russe s'affrontent. L'Ukraine, la Moldavie et la Géorgie souhaitent rejoindre l'Otan et l'UE et sont en plein divorce avec la Russie. Les pays en "stan", appellation désignant les anciennes républiques soviétiques d'Asie centrale, tentent de trouver le bon équilibre entre Occident, Turquie, Russie et Chine. De leur côté, l'Arménie et l'Azerbaïdjan se livrent à des actes hostiles et se sont déjà mené deux guerres, une en 1994 remportée par l'Arménie et une en 2020 dont le vainqueur fut l'Azerbaïdjan.
Au milieu de ce chaos, un petit groupe de hackers collecte des données sur l'ensemble de ces pays, infrastructures, gouvernements, organisations militaires, et bien sûr, services de renseignement. Son objectif : deviner le positionnement géopolitique de ses victimes, et savoir quel bloc elle suivrait en cas d'un conflit ouvert entre occidentaux et bloc autoritaire (Chine, Russie, Iran).
Des hackers expérimentés
"L'objectif opérationnel de Tomiris est de récolter du renseignement, dans le but de pouvoir deviner les positionnements géopolitiques des pays de cette zone car la plupart d'entre eux se revendiquent comme non alignés", confie Pierre Delcher, senior security researcher chez Kaspersky. Tomiris est sûrement un acteur supporté par un Etat car il ne revend pas ses trouvailles. Mais il est très compliqué de remonter jusqu'à ce pays sponsor, sans doute membre ou ex-membre de la CEI.
Pour ce qui est du côté technique, "Nous avons repéré des outils utilisés par les hackers de Turla chez les membres de Tomiris. Donc soit deux Etats collaborent pour mener des cyberattaques, soit Tomiris et Turla vont se fournir chez le même éditeur du darknet", explique Pierre Delcher. En effet, le groupe de cybercriminels Turla est associé publiquement à la Russie dans le cadre des cyberattaques qui avaient touché l'éditeur Solarwinds. Les membres de Tomiris ne sont donc pas des débutants.
Qui se cache derrière Tomiris ?
D'après les recherches de Kaspersky, quatre pays ou ex-pays de la CEI ne sont pas ciblés par Tomiris. L'Etat sponsor pourrait donc se trouver parmi eux. Il s'agit de la Moldavie, de l'Ukraine, du Kazakhstan et de la Géorgie. Cependant, les équipes de Mandian, entreprise de cybersécurité américaine, ont détecté une cyberattaque semblable à celles de Tomiris ayant ciblé l'Ukraine. Il reste donc trois coupables probables, auxquels il convient d'en rajouter un quatrième, la Chine, qui possède de forts intérêts en Asie centrale.
Mais les développeurs de Tomiris sont des russophones natifs ce qui correspondrait plus à des ressortissants d'un ex-pays de l'URSS. Enfin vient un dernier indice, le nom : Tomiris. Celui-ci fut attribué à ce groupe de hackers car un code malveillant qu'il avait développé portait cette appellation, comme l'ont découvert les équipes de Kaspersky. Tomiris est le nom d'une reine des Massagètes (ancêtres des Turkmènes, Ouzbeks et Kazakhs) qui tua au combat Cyrus le grand, fondateur de l'empire perse. Elle est très importante dans l'histoire nationale des pays de ses descendants parmi lesquels se trouve le Kazakhstan, un de nos suspects. Les deux autres, la Moldavie et la Géorgie, ne sont pas liés à ce passé car le premier partage une histoire commune avec la Roumanie et le second est un descendant d'un royaume chrétien du Caucase. Ils ne sont donc pas du tout rattachés à l'histoire des peuples turciques des steppes. Cette absence de filiation pourrait les innocenter tous les deux.