Le 24 septembre, l'Union européenne a déclaré dans un communiqué de presse associer la Russie à l'opération connue sous le nom de « Ghostwriter ».
Au début du mois, l'Allemagne avait déjà formellement accusé la Russie dans le cadre de cette même opération, après que des parlementaires allemands ont été victimes de tentatives de piratage.
Une opération en place depuis 2017
L'opération Ghostwriter a été identifiée par Fireeye en 2020 et décrite comme « une campagne d'influence alignée avec les intérêts sécuritaires de la Russie ». Elle est soupçonnée d'être en place depuis minimum mars 2017 et d'utiliser plusieurs techniques, dont du piratage, pour mener à bien ses missions. Dans son rapport de 2020, Fireeye citait l'utilisation de vulnérabilités dans des sites web ou des comptes mails usurpés afin de disséminer de fausses informations semblant provenir de personnalités politiques et militaires issues de pays comme la Pologne, la Lituanie ou la Lettonie, et reprises par de faux journalistes et analystes. De base, l'opération se concentrait surtout sur les pays de l'Est et sur une critique de la présence de l'OTAN dans ces pays.
Depuis le rapport de Fireeye, les activités liées à Ghostwriter ont évolué. Des comptes de politiques polonais sur les réseaux sociaux ont été hackés, à l'aide d'adresses mails compromises, et utilisés pour essayer de « créer des perturbations politiques internes en Pologne », sans cibler particulièrement l'OTAN cette fois. En avril 2021, l'entreprise de sécurité informatique a sorti une mise à jour de son rapport, dans laquelle elle nomme le groupe UNC1151 comme responsable d'une partie des opérations menées dans le cadre de Ghostwriter.
Des parlementaires allemands pris pour cibles avant les élections
Depuis quelque temps, les activités du groupe ont été étendues à l'Allemagne, où plusieurs politiques ont été pris pour cibles. Début septembre, le ministre des Affaires Etrangères allemand a contacté la Russie, la tenant pour responsable de tentatives de phishing dans le but d'obtenir des identifiants et mots de passe de parlementaires du pays. Le bureau du procureur général fédéral a quant à lui annoncé l'ouverture d'une enquête, sans accuser ouvertement la Russie mais en citant la plainte du ministre et en liant les activités suspectes à Ghostwriter. L'affaire était particulièrement sensible à l'approche des élections fédérales en Allemagne, qui ont eu lieu ce week-end et que la Russie était soupçonnée de vouloir perturber.
L'Union européenne a suivi l'exemple de l'Allemagne le 24 septembre, en accusant formellement la Russie d'être à l'origine de Ghostwriter. Dans un communiqué de presse, l'Union européenne dénonce des « cyberactivités malveillantes visant plusieurs parlementaires, des fonctionnaires, des politiques et des membres de la presse et de la vie civile dans l'Union européenne en accédant à des systèmes informatiques et à des comptes personnels et en volant des données ». Elle ajoute également qu'elle « reviendra sur cette question lors des prochaines réunions et envisagera de prendre de nouvelles mesures », sans donner plus avant le détail de ces mesures.
La Russie n'a pour le moment pas répondu à ces accusations.
Sources : BleepingComputer, Communiqué de presse , Fireeye #1, #2, The New York Times
