Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Les services de renseignements dans le monde


IDF

Messages recommandés

Il y a 3 heures, Rob1 a dit :

 

Holy dumb crap...

D'après Ars Technica : des motifs (paterns) prédictibles dans les URLs des pages permettant l'émission des messages. Le mystère, tout de même, est l'assertion disant qu'on trouvait tout ça à travers Google.

Si ma mémoire est bonne, le fameux fichier robot.txt, qu'on peut inclure à la racine d'un site web (http://www.monsite.com/robot.txt) permet de spécifier à Google et autres moteurs de recherche les pages que l'on ne veut pas voir indexées (libellées par leurs URLs). Qu'on l'oublie et, effectivement, tout ce qui est lié publiquement à l'intérieur du site peut être indexé et révélé par le moteur de recherche, mais le reste demeure planqué. Si on crée une page http://www.monsite.com/maplanque/jsuisplanqué.html qui n'est pointée de nulle part, elle ne sort pas dans les moteurs de recherche.

Pour moi, il y a un trou dans la raquette du récit... Un ou deux piratages de routeurs ou d'exploitation des URLs de connexion d'agents déjà découverts à travers tel ou tel "grande muraille" numérique, des motifs d'URLs beaucoup trop prédictibles vers des serveurs trop prédictibles aussi, ce genre de choses. Les trouver par Google : non.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Le 17/06/2017 à 00:40, Rob1 a dit :

Pas la moindre idée... d'ailleurs si quelqu'un a un organigramme du GRU russe (non-accompagné de polonium), je suis preneur ? Rien que pour le GRU soviétique j'ai eu du mal à trouver un organigramme.

Meduza publie un une synthèse fleuve sur le GRU, sous forme de FAQ (disclaimer, média d'opposition russe, mais avec de bonnes sources).

Il n'y a pas de diagramme du GRU, mais il y a plein d'informations (à vérifier):

https://meduza.io/en/feature/2018/11/06/what-is-the-gru-who-gets-recruited-to-be-a-spy-why-are-they-exposed-so-often

  • origine, différence avec le SVR
  • le recrutement et la formation
  • les missions et opérations passées (dont infoguerre et propagande)
  • les transfuges (+ morts suspectes)
  • L'organisation et les instituts rattachés
Révélation
  • The Defense Ministry’s 46th Central Research Institute (Military Unit 54726) is a center for military-technical information and intelligence about the military potential of foreign states. It's located at 86 Khoroshevskoye Highway and was previously subordinate to the GRU. Locals call the four-floor building “the Pentagon” — not because of its shape, but because of the secrecy that surrounds it. Staff at this institute have been characterized as “the most informed people in the GRU,” and its management is part of Russia’s Security Council.
    (...)
  • The Defense Ministry’s Center for Special Studies is based in Moscow on Svoboda Street. Meduza wrote at length about this institute in 2016. Created two years earlier, the center advertised job vacancies on employment websites aimed mainly at graduates from engineering schools. More than anything, the institute was looking for staff who could analyze exploits and find vulnerabilities in computer networks. New hires are granted confidential security clearance (which requires staff to give advance notice whenever traveling abroad) and a starting monthly salary as high as 120,000 rubles ($1,835).The Center for Special Studies employed Evgeny Serebryakov, who was expelled from the Netherlands in April 2018 for trying to hack the Organization for the Prohibition of Chemical Weapons (OPCW).
     
  • Military Unit 26165 — the “Khamovnichesky Barracks” — is located at 20 Komsomolsky Prospect. This unit is perhaps the Russian military’s biggest repository of hacker talent. Here you’ll find the GRU’s 85th Central Research Institute, where cryptographers create decryption algorithms.

    Several hackers suspected of cyber-attacking the U.S. and Europe have apparently worked in Unit 26165. When Wikileaks published the stolen emails of Emmanuel Macron on May 7, 2017 (a day before the French presidential election), Internet sleuths noticed almost immediately that someone named Georgy Petrovich Roshka modified nine of the published emails. Roshka turned out to be an employee at several Russian military intelligence research institutes. In a participant list for one conference where he was named as a speaker, Roshka was identified as a specialist at the GRU’s 85th Central Research Institute, located at 20 Komsomolsky Prospect.
    It was from this building that OPCW-attack suspect Alexey Morenets took a taxi to the airport, before boarding his plane to the Netherlands. According to U.S. intelligence, this was also a base of operations for 10 hackers and GRU officers who infiltrated the Democratic National Committee computer network.
     
  • Military Unit 74455 is based at 22 Kirov Street. Officially, this is the address of the “Novator” business center, but the building’s entrance has a sign indicating that it also houses the “Center for Daily Operations Management” (which, according to representatives from the Defense Ministry’s General Staff, is what they call research institutes created “for the operational coordination of military agencies”). The U.S. Justice Department says this building was also a workplace for some of the GRU hackers who broke into the DNC in 2016.
     
  • The 18th Central Research Institute works specifically with communications electronics. Nothing is known publicly about this outfit, but Internet users who “stalk” the topic on forums sometimes joke that there’s a UFO, crashed in 1959, hidden on an underground floor at 22 Kirov Street, which is also supposedly connected to Moscow’s “Metro-2” (a rumored secret subway system).
     
  • “Sovinformsputnik” is a division of the GRU’s space intelligence operations. In 2000, it was reportedly the first to photograph “Area 51” in the United States.

Y a des trucs WTF à vérifier attentivement : des déploiements d'arme biologique aux USA ?!

Révélation

In the early 1990s, GRU Colonel Stanislav Lunev worked at Russia’s station in Washington, D.C. as a staffer at the ITAR-TASS bureau. After being contacted by the CIA, Lunev decided to stay in the United States, and later wrote an autobiography called “Through the Eyes of the Enemy,” where he claimed that GRU agents might be assigned “dead drop sites” to dump chemical and biological weapons into the Potomac River to poison the population of Washington, D.C., in the event of war. Lunev said it was “likely” that GRU specialists had already placed “poison supplies near the tributaries to major U.S. reservoirs.” Alexander Kouzminov, a defector from Russia’s Foreign Intelligence Service, later supported this information, stating that he transported different pathogens in the early 1990s.

J'avais loupé le livre sur Sergey Tretyakov, transfuge de gros calibre.

Révélation

The defector Sergey Tretyakov revealed more than anyone about the SVR’s methods and training in a collection of interviews, published in 2008 as a book titled “Comrade J.: The Untold Secrets of Russia's Master Spy in America After the End of the Cold War,” written by journalist Pete Earley. The grandson and son of KGB officers, Tretyakov spent his youth reading Ian Fleming novels and dreaming of becoming a spy. In the early 1980s, KGB recruiters invited him to participate in a student-exchange program to France, where he would collect intelligence about the newly elected president, François Mitterrand. When Tretyakov returned, he was sent to the “Forest School” not far from Medvedkovo in northeast Moscow, like other young intelligence workers.

 

Lien vers le commentaire
Partager sur d’autres sites

Le 21/11/2018 à 12:52, rogue0 a dit :

Il n'y a pas de diagramme du GRU, mais il y a plein d'informations (à vérifier):

Ne va pas croire que j'y tiens désespérément, c'est juste un truc assez sympa pour nourrir un article wiki trop pauvre...

Sinon, une niouze : Igor Korobov, le directeur du GRU, est décédé "après une longue et grave maladie". Il avait parait-il commencé à se sentir mal après une sérieuse réprimande du président Poutine à la mi-septembre, sans doute liée à l'exposition médiatique des tueurs dans l'affaire Skripal.

https://meduza.io/en/news/2018/11/22/the-head-of-russia-s-gru-spy-agency-is-reported-dead-after-a-long-and-serious-illness

Inutile de dire que l'info est déjà l'objet de nombreuses spéculations et de gags sans fin...

Korobov avait quand même 62 ans dans un pays où l'espérance de vie masculine est de 65.

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Rob1 a dit :

Ne va pas croire que j'y tiens désespérément, c'est juste un truc assez sympa pour nourrir un article wiki trop pauvre...

Ben si je le trouve un jour, je sens que ça ne sera pas très bon pour la santé de le poster :dry:

Il y a 1 heure, Rob1 a dit :

Sinon, une niouze : Igor Korobov, le directeur du GRU, est décédé "après une longue et grave maladie". Il avait parait-il commencé à se sentir mal après une sérieuse réprimande du président Poutine à la mi-septembre, sans doute liée à l'exposition médiatique des tueurs dans l'affaire Skripal.

https://meduza.io/en/news/2018/11/22/the-head-of-russia-s-gru-spy-agency-is-reported-dead-after-a-long-and-serious-illness

Inutile de dire que l'info est déjà l'objet de nombreuses spéculations et de gags sans fin...

Korobov avait quand même 62 ans dans un pays où l'espérance de vie masculine est de 65.

Fichtre.
Dire que j'allais poster le mystérieux décès de Igor Sergun, le directeur précédent du GRU, en janvier 2016. (officiellement à Moscou, mais apparemment, il était en mission top secrète au Liban)

https://worldview.stratfor.com/article/mysterious-death-raises-questions-russia

Attention, c'est du stratfor (biais néo-con, et cherche à tout expliquer rationnellement ... ce qui n'est pas toujours la motivation des décideurs comme Bush Jr, John Bolton, ou Trump...)

A ce rythme, le prochain ferait mieux de passer à l'ouest, l'espérance de vie des transfuges dépasse celle des directeurs du GRU, même en comptant le risque de Novichok :dry:

 

  • Haha (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Le 07/11/2018 à 00:23, Boule75 a dit :

D'après Ars Technica : des motifs (paterns) prédictibles dans les URLs des pages permettant l'émission des messages. Le mystère, tout de même, est l'assertion disant qu'on trouvait tout ça à travers Google.

Si ma mémoire est bonne, le fameux fichier robot.txt, qu'on peut inclure à la racine d'un site web (http://www.monsite.com/robot.txt) permet de spécifier à Google et autres moteurs de recherche les pages que l'on ne veut pas voir indexées (libellées par leurs URLs). Qu'on l'oublie et, effectivement, tout ce qui est lié publiquement à l'intérieur du site peut être indexé et révélé par le moteur de recherche, mais le reste demeure planqué. Si on crée une page http://www.monsite.com/maplanque/jsuisplanqué.html qui n'est pointée de nulle part, elle ne sort pas dans les moteurs de recherche.

Pour moi, il y a un trou dans la raquette du récit... Un ou deux piratages de routeurs ou d'exploitation des URLs de connexion d'agents déjà découverts à travers tel ou tel "grande muraille" numérique, des motifs d'URLs beaucoup trop prédictibles vers des serveurs trop prédictibles aussi, ce genre de choses. Les trouver par Google : non.

Dédicace à @Boule75.

Voici un exemple de signature d'un serveur de contrôle du malware Pegasus (sans doute utilisé pour surveiller l'entourage de Khashoggi), et en partie cherchable via google.

https://citizenlab.ca/2018/09/hide-and-seek-tracking-nso-groups-pegasus-spyware-to-operations-in-45-countries/

cf le fil cyberwarfare pour plus de détails.


L'équivalent pour les serveurs grillés de la CIA serait sans doute l'infrastructure technique cachée, cad les framework et fichiers de configuration, aiguillant les agents vers la partie cachée du serveur ... voire vers le réseau interne de la CIA ...
Pour moi, même si le contenu des fichiers de configuration proxy variait légèrement, il est très probable qu'il y ait assez de code commun/balises pour en faire une signature unique. Sans parler de l'architecture technique.

Citation

Fingerprinting in 2016: Decoy Pages

When we sought to build fingerprints for Pegasus infrastructure in 2016, we scanned the Internet for /redirect.aspx and /Support.aspx, for which Pegasus servers returned decoy pages. A decoy page is a page shown when there is an undesired remote landing on a spyware server and is designed to convince the user that they are viewing a normal, benign website. However, because the functionality for showing decoy pages typically resides in the spyware server’s code and likely nowhere else, it is often trivial for researchers to build fingerprints for decoy pages, and scan the Internet for these fingerprints to identify other servers associated with the same spyware system, including perhaps the servers of other operators, if the same spyware system is used by multiple operators.

Fingerprinting in 2017 and 2018: No More Decoys

After our August 2016 report, NSO Group apparently removed the /redirect.aspx and /Support.aspx decoy pages, and further modified their server code to close an incoming connection without returning any data unless presented with a valid exploit link or other path on the server. This change is in line with changes made by competitors FinFisher and Hacking Team, after we disclosed how we fingerprinted their hidden infrastructure with decoy pages.

After studying the behavior of several suspected new Pegasus servers, we developed fingerprints ξ1, ξ2, and ξ3, and a technique that we call Athena.2 Fingerprint ξ1 is a Transport Layer Security (TLS) fingerprint. Fingerprints ξ2 and ξ3 represent two different proxying configurations we observed. We considered a server to be part of NSO Group’s infrastructure if it matched ξ1 and also one of ξ2 or ξ3. We then used Athena to group our fingerprint matches into 36 clusters. We believe that each cluster represents an operator of NSO Pegasus spyware, though it is possible that some may represent demonstration or testing systems. As we have done in the past when reporting on vendors of targeted malware, we have chosen to withhold publication of specific fingerprints and techniques to prevent harm that may result from external parties generating a list of NSO Group domains using these methods.

 

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Dépilage de mes notes:

Le 12/04/2018 à 01:35, rogue0 a dit :

A prendre avec des pincettes, en attendant d'autres sources (pas trouvé l'analyse détaillée sur le site de Crowdstrike)

https://www.axios.com/china-broke-hacking-pact-before-new-tariff-tiff-d19f5604-f9ce-458a-a50a-2f906c8f12ab.html

Selon le fondateur de Crowdstrike, le nombre de cyber attaques chinoises sur les entreprises privées US (hors défense donc) aurait fortement augmenté en 2018 .
Ce type d'attaque avait été proscrite par un accord avec Obama et avait beaucoup baissé entre 2016 et 2017 (autorisant juste l'espionnage classique sur la défense et le gouvernement)

Cet accord Obama - Xi de 2015 (pour réguler le cyberespionnage contre les entreprises privées) a donc marché pendant 2 ans (un record).

Wired a consacré un article fleuve aux dessous de cet accord  (difficile à vérifier, mais intéressant) :

C'est tiré d'un livre
"Dawn of the Code War: Inside America’s Battle Against Russia, China, and the Rising Global Cyber Threat, by John P. Carlin, with Garrett M. Graff (PublicAffairs), paru en Octobre 2018"

https://www.wired.com/story/us-china-cybertheft-su-bin/

https://www.nytimes.com/2017/01/01/world/canada/canadian-couple-china-detention.html

Pour moi, cet accord était une surprise, puisque les chinois (en fait, tout le monde) ont toujours nié avec indignation tout accusation de cyberespionnage économique.
Comment les US ont fait pour les contraindre à signer cet accord ?

En gros, les auteurs lient cet accord à plusieurs affaires d'espionnage contre le secteur aérospatial américain.

1) les inculpations publiques contre 5 hackers de l'armée chinoise
en 2014
2) l'arrestation de Su Bin, chinois résident au Canada, patron d'une boîte aérospatiale au Canada nommée
Lode-Tech.
Etant un connaisseur du domaine, il était accusé d'avoir orienté les hackers vers des cibles "intéressantes", et de les avoir aidé à cibler / trier les documents les plus prometteurs.

Révélation

It was tedious work. Some of the file directories ran to thousands of pages; in one dump of nearly 1,500 pages, Su meticulously highlighted 142 files that seemed most likely to be useful to his Chinese Army contacts—files with names like C17Hangar Requirements 112399.pdf and Critical Safety Item(CSI) Report_Sep2006.pdf. In another 6,000-page ­directory, he picked out the 22 most promising file folders—hitting on one that FBI agents later calculated contained more than 2,000 files related to the C-17.

All told, according to their own accounting, Su and his two Chinese partners stole 630,000 files related to the C-17, totaling about 65 GB of data. “We safely, smoothly accomplished the entrusted mission in one year, making important contributions to our national defense scientific research development and receiving unanimous favorable comments,” the team wrote.

The C-17 wasn’t the hacker’s only target; they filched information about other aircraft as well. Investigators believe they pillaged 220 MB of data related to the F-22 Raptor, as well as files related to the F-35, including its flight test protocols, which Su carefully translated into Chinese. The thefts would be critical to helping the Chinese understand—and copy—the world’s most advanced multirole fighter plane, which had cost $11 billion to develop.


Plus de détails en spoiler et dans l'article

Leurs communications étaient interceptées, et Su Bin a fini par être arrêté.

Révélation

The more they dug, the more the agents realized what a uniquely valuable conspirator Su Bin was, perhaps even sui generis as a spy. He was conversant with the aerospace community, and he spoke English, Chinese, and the technical jargon of aviation in both languages, able to translate the complex world of industrial design schematics, plans, and handbooks. “I don’t know how many Su Bins there are,” Vallese says.

Su’s hacking effort provided a staggering return on investment for the Chinese government: According to court documents, the operation cost China around $1 million—an absolute pittance compared to the decades of engineering knowledge, military technology, and construction details that Su and his team were able to steal from Boeing and the US Air Force. The team’s overseers ran such a tight ship that Su griped in an email about the difficulty of getting ­reimbursed for expenses.

According to court documents, the hackers covered their tracks by pinballing stolen files through a sophisticated international server network, with machines planted in the US, Singapore, and Korea. They carefully disguised documents as they stole them, so as to circumvent the internal intrusion alarms at Boeing. Then they were careful to move their digital contraband through at least three foreign countries, ensuring that at least one had unfriendly relations with the United States, to throw pursuers off China’s scent. Ultimately, the files would be deposited on machines near Hong Kong and Macau.

There, officials would pick them up and transfer them back to China—in person, further covering all tracks between the United States and China. But the evidence the FBI had collected left no doubt that the ultimate customer was the Chinese military—and that Su Bin’s partners were members of the military themselves. While the two hackers in China have not been charged publicly, the US government knows who they are; according to court records, investigators intercepted an email that one of the hackers had received with a copy of his own ID card, which included his photo, name, and date of birth. Similarly, emails the FBI traced to the other hacker, one with the subject line “boss,” included photos of both men in Chinese military uniforms.

2 parties intéressantes:

Suite à cette offensive contre les pirates de l'APL chinoise, les USA ont décidé de monter la pression et de balancer toutes les accusations, preuves, et sanctions lors du 1ère visite d'état de Xi Jinping aux USA.
Pour éviter de perdre la face en public, les chinois acceptèrent un accord pour éviter le piratage commercial sur les boîtes privées (les piratages contre les organismes gouvernementaux continuant bien sûr des 2 côtés).

Note:
Peu après, les chinois arrêtèrent un couple de canadien (Kevin Garratt)  sans histoire en Chine, avec des chefs d'accusation similaire à leur agent au Canada.
Probable message caché au Canada : n'extradez pas notre agent, on a une monnaie d'échange...
Raté, en 2016, l'agent chinois décida d'aller en procès aux USA (la peine de prison étant plus courte que la procédure d'extradition...).
Et le couple canadien fut libéré peu après...

https://www.theglobeandmail.com/news/world/canadian-woman-detained-in-china-over-spying-suspicions-released-on-bail/article22798959/

https://www.theglobeandmail.com/world/article-canadian-couple-recounts-survival-story-of-their-detention-in-china/

 

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

News en vrac :

1) Un article sur un réseau de la CIA à Cuba en 1962 qui a été de ceux qui ont rapporté des informations de mouvements suspects, qui se sont avérés être les missiles de la crise : https://news.yahoo.com/operation-cobra-untold-story-cia-officer-trained-network-agents-found-soviet-missiles-cuba-100005794.html

2) Un article néerlandais sur les coopérations entre petites et grandes puissances : https://spectator.clingendael.org/nl/publicatie/staan-inlichtingendiensten-samen-sterker

la traduction par Google est pas mal : https://translate.google.fr/translate?hl=fr&sl=nl&tl=fr&u=https%3A%2F%2Fspectator.clingendael.org%2Fnl%2Fpublicatie%2Fstaan-inlichtingendiensten-samen-sterker

  • J'aime (+1) 1
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
il y a 7 minutes, Rob1 a dit :

Bellingcat continue à torturer lentement le GRU avec l'identification d'un troisième agent apparemment lié à l'affaire Skripal : https://www.bellingcat.com/news/uk-and-europe/2019/02/07/third-skripal-suspect-linked-to-2015-bulgaria-poisoning/

Sacré boulot je trouve, que personne d'autre ne fait (ou du moins pas au grand jour et a destination du public)

DoFj0HMXgAEXaXH.jpg

  • Haha (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Le 15/02/2019 à 06:43, penaratahiti a dit :

La BBC en Russie a confirmé certains éléments sur le terrain:
https://www.bbc.com/russian/news-47241958

A noter que ce "3ème homme" avait déjà été signalé dès octobre 2018 par Fontanka un média russe indépendant / d'opposition (?).

BC revient avec des précisions sur leur méthode de recherche... (croisement massif de bases de données russes)

https://www.bellingcat.com/news/uk-and-europe/2019/02/21/the-search-for-denis-sergeev-photographing-a-ghost/

  • Qui a été rendue très difficile par le manque de photo authentifiée du suspect, et le nettoyage* des bases entrepris par les autorités russes (ce qui est normal après les révélations exposées par bellingcat)
    Hélas, les bases de données déjà piratées et distribuées sont hors de portée des autorités russes. :tongue:

    * Effet Streisand de ce nettoyage:
    ça donne un marqueur possible d'agents russes (ceux qui existaient dans les vieilles bases, mais qui ont été purgés depuis dans les bases en ligne)
     
  • Spéculation de BC.
    Ils retrouvent souvent un petit groupe d'agent présumé réutilisés sur plusieurs opérations.
    Le pool d'agent disponible sur le théâtre d'opération occidental est peut-être réduit.
    (ce qui est cohérent avec les logs du matériel saisi par les hollandais : les PC n'avaient pas été expurgés des opérations précédentes...)


Note : BC a visiblement croisé plein de base de données gouvernementales russes sur les 20 dernières années (liste piratée des passagers d'avion ou de train, base des douanes de contrôles à la frontière, accès pirate à la base de passeport,  recensement, annuaires d'écoles, permis, service militaire, les impôts, passeports, les contraventions de police...)
Heureusement que BC n'est pas basé en France, ils auraient la CNIL sur le dos :tongue:

Note2 : les bases de données sous Access, c'est mal :rolleyes:

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Le 17/07/2018 à 20:38, penaratahiti a dit :

De mon point de vue c'est exemplaire en terme d'OSINT

Je rattrape mon retard : le Hors Série DSI de décembre 2018 sur le renseignement, avec un article sur l'OSINT (renseignement à sources ouvertes).

Je m'attendais à une couverture de Bellingcat ...

Et en fait, l'article a surtout couvert les blogueurs de défense francophones : Mars Attacks, le fauteuil de Colbert, et un certain Eastern Pendulum.
Pas d'interview  à proprement parler, mais plusieurs questions / réponses sur leurs méthodes de travail, et détail croustillant, les contacts avec les SR :biggrin:

<mode taquin ON>
Je suppose que l'article a été soigneusement relu : il ne reste aucun bougonnement de @Henri K., et aucune mention de @MeisterDorf/ Red Samovar :tongue:

 

  • Haha (+1) 2
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 15/02/2019 à 06:43, penaratahiti a dit :

Ledit suspect est aussi cité dans un empoisonnement possible en Bulgarie en 2015 , de Gebrev, un marchand d'arme qui avait eu le mauvais goût de fournir l'armée ukrainienne:

Cf le rapport d'analyse des résidus du poison sur le fil NBC

 

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 07/12/2017 à 11:47, rogue0 a dit :

Plusieurs réflexions sur l’impact des réseaux sociaux (et technologies de surveillance de masse) sur les agents des SR
1) Impact sur le « tradecraft » des agents de renseignement.

En particulier la difficulté de maintenir une couverture crédible quand tout le monde a un historique complet sur Facebook et autres réseaux sociaux. L’absence d’historique est dorénavant suspicieux.
https://www.thecipherbrief.com/hiding-in-plain-sight-maintaining-a-spys-cover-in-the-internet-era
(Tiens, l’article cite des équipes grillées par les caméras de surveillance : y a des contre-mesures déjà prévues? A part le piratage cf Vault7?)

Complément : comment essayer de contrôler les réseaux sociaux, une source inépuisable pour l'OSINT.

J'ai failli le poster sur les fils cyberwarfare, Facepalm, ou Ukraine 2 / 3, mais c'est un problème universel.

--------------------------

Après la Turquie, c'est le tour de la Russie de passer en février 2019 une loi "anti-selfie", interdisant aux soldats de porter des dispositifs avec caméra, connectés à Internet (alias smartphones), et de partager toute information liée à la vie militaire via Internet ou à des journalistes.

https://meduza.io/en/short/2019/02/12/russian-lawmakers-just-passed-legislation-designed-to-kick-soldiers-off-social-media

Pourtant, la Russie avait déjà tenté des méthodes radicales pour étouffer les fuites d'information via réseaux sociaux (que l'OSINT adore), en clouant des téléphones au pilori...
Il faut dire que la présence de leurs soldats (longtemps niée) avait été grillée en Ukraine, au Donbass et en Syrie par des selfies de soldat.

A cette occasion, bellingcat poste le bêtisier des pires facepalms / violations de sécurité via selfie:

https://www.bellingcat.com/news/uk-and-europe/2019/02/20/russias-anti-selfie-soldier-law-greatest-hits-and-implications/

Mais comme le dit l'article, difficile de lutter contre la manie des posts-adolescents de poster leurs exploits (si besoin via des smartphones de contrebande).

Depuis, les soldats essaient de poster anonymement, mais c'est de la fausse sécurité : leurs profils sont reliés à ceux de leurs familles ... qui elles ne peuvent pas se retenir de poster les médailles de leurs rejetons.
 

Révélation

Il serait intéressant de voir si c'est à la 76° division aéroportée qu'appartiennent les soldats dont la géolocalisation des selfies se fait du mauvais coté de la frontière (coté ukrainien). Mais je n'ai pas lu d'article sur cette affaire de selfie qui mentionnait les unités.

Pour rappel: http://www.lemonde.fr/europe/article/2014/08/01/l-armee-russe-trahie-par-les-reseaux-sociaux_4465920_3214.html

Quid en France ?
Je crois qu'on avait eu des rappels à l'ordre sur la discrétion et la sécurité opérationnelle, suite à Charlie Hebdo et des menaces de la dèche...

 

Lien vers le commentaire
Partager sur d’autres sites

Le 15/02/2019 à 06:33, collectionneur a dit :

D'autres détails avec l'acte d'accusation US: https://assets.documentcloud.org/documents/5736443/Indictment-Monica-Witt.pdf

https://www.theguardian.com/us-news/2019/feb/14/monica-witt-from-us-intelligence-officer-to-alleged-iranian-spy?CMP=share_btn_tw

Cet agent (ex-USAF/NSA) a fait défection en 2013, et a complètement retourné sa veste : ses anciens collègues ont été ciblées par des hacking probablement d'origine iranienne.
Elle avait passé 10 ans sur les guerres US en Irak / Syrie.
Les articles spéculent que c'est la cause de son retournement : ce qu'elle a vu là-bas en matière de d'hypocrisie de la politique US, et les destructions qui en découlent.


Autre détail croustillant de l'acte d'accusation US:
Le contre - espionnage iranien traînait les pattes (il la soupçonnait d'être un appât ou agent double): Mrs Witt finit par menacer de faire défection à la Russie, avec l'aide de Wikileaks :dry:
(et c'était en 2012, avant Snowden, et bien avant que Wikileaks ne grille totalement sa réputation en servant de façade aux SR russes)

-------------------------------

D'ailleurs, l'article suivant compare le traitement entre cette défection (qualifiée de trahison), et celle de Snowden (qualifié de lanceur d'alerte).

https://www.city-journal.org/defectors-monica-witt-edward-snowden
La principale différence étant que Snowden avait transmis à la presse des informations potentiellement d'intérêt public (même si le scope était un peu exaggéré).
J'avais d'ailleurs loupé l'info que Snowden avait séjourné dans le consulat russe de Hong Kong pendant plusieurs jours/semaines.

Donc son arrivée à Moscou n'était pas une surprise pour tonton Poutine :dry:

 

  • J'aime (+1) 1
  • Merci (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

  • 4 weeks later...
  • 3 weeks later...

Travail OSINT de bellingcat sur le conflit au Yémen : emploi des BMP-3 et bavures de la coalition

 

Le 13/03/2019 à 01:45, MeisterDorf a dit :

T'as mal lu alors parce que j'y parle même de ma femme, c'est dire... :tongue:

Ah ok, ça doit être sa photo dans l'article.

Révélation

Pas besoin de vérifier, c'était une blague hein
pas taper :tongue:

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
  • 3 weeks later...
Le 13/04/2018 à 11:40, Kiriyama a dit :

Un Vaudois militaire dans l’âme devient chef des espions.

Le Conseil fédéral nomme Jean-Philippe Gaudin à la tête du Service de renseignement de la Confédération. A lire ici

Un an après, ledit chef du SRC (Renseignement et Contre-espionnage Suisse) donne une interview.
https://www.tdg.ch/suisse/services-russes-doivent-arreter-prendre-oies-blanches/story/29878518

Au programme, il parle de :

  • la résurgence des SR russes en Suisse (et confire les ops du GRU en Suisse contre Spiez et l'AMA : il affirme que son service les avait déjà détectées avant).
    Au passage, il leur dit d'arrêter de prendre les suisses pour des c**** (tenter d'accréditer en Suisse, un colonel / agent qui venait d'être grillé / Non Grata en Allemagne)
     
  • les ops de renseignement économique des Chinois (même s'il y a un déclin relatif avec la montée des compétences chinoises)
  • il veut pousser les SR suisses à prendre plus de risques
  • les relations avec les SR étrangers (dont russes et US), et le refus de l'alignement.

Au passage:

la MPC suisse a inculpé (in absentia) un autre agent russe
ll s'agit d'un Sergueï Jeltikov : il avait été vice-consul a Marseille, avant de passer à l'ambassade russe en Suisse (toujours sous couverture diplomatique).
Il avait participé à plusieurs opérations du GRU (ceux chopés en flagrant délit aux Pays Bas en avril 2017)

Info du monde, confirmée par les autorités suisses

https://www.lemonde.fr/international/article/2019/06/06/un-nouvel-espion-russe-identifie-en-france_5472248_3210.html

https://www.24heures.ch/suisse/Un-nouvel-espion-russe-identifie-en-Suisse/story/28848607

 

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 07/12/2017 à 11:47, rogue0 a dit :

Plusieurs réflexions sur l’impact des réseaux sociaux (et technologies de surveillance de masse) sur les agents des SR
 

Révélation

1) Impact sur le « tradecraft » des agents de renseignement.

En particulier la difficulté de maintenir une couverture crédible quand tout le monde a un historique complet sur Facebook et autres réseaux sociaux. L’absence d’historique est dorénavant suspicieux.
https://www.thecipherbrief.com/hiding-in-plain-sight-maintaining-a-spys-cover-in-the-internet-era
(Tiens, l’article cite des équipes grillées par les caméras de surveillance : y a des contre-mesures déjà prévues? A part le piratage cf Vault7?)

  Révéler le texte masqué


AMHA, il y a des solutions simples : la nationalité américaine des réseaux sociaux est une carte à jouer pour les renseignements US :
insérer la couverture (avec historique rétroactif), soit par complicité des réseaux sociaux, soit par piratage de leurs bases de données.
(modifications difficiles à repérer, sauf à copier régulièrement les énorrrmes bases de réseau sociaux …)

Pour les autres pays, ça sera soit le piratage, soit peut-être simplement créer par avance une base de profils génériques, entretenue régulièrement par le service chargé des couvertures…
Les photos vont être un problème, à moins d’éviter les selfies, ou d’utiliser les vraies photos des agents (ça va faire des heureux ça …)

 

2) La pratique d’exposer publiquement les agents des SR (doxing).
Avant, il y avait un gentleman’s agreement sur garder l’identité des agents secrètes (et encore plus celle de leurs familles…).
Ce consensus a volé en éclat à l’ère cyber.

  Révéler le texte masqué

D’un côté, les USA se sont mis à inculper publiquement les hackers étrangers, qu’ils soient étatiques ou non (pirates de yahoo téléguidés par le FSB, hackers chinois de l’APL, cf l’acte d’accusation contre APT3 sur le fil cyber, pirates iraniens).

Retour de bâton avec le doxing d’agents de la NSA via les Shadow Brokers… et les chasses aux sorcières via reddit contre des agents présentés comme des anti-Trump du « deep state »  

Sur le plan moral, la pratique US (judiciaire) est moins risquée pour les agents « outés » (les familles des hackers chinois « doxés » ne risquent pas grand-chose, sauf s’ils voyagent aux USA).
Ce n’est pas le cas du doxing incontrôlé.

Doxing spies internet (source):
https://www.thecipherbrief.com/outing-spooks-doxing-cyber-hack-era

Version reformatée lisible
http://myemail.constantcontact.com/Outing-Spooks---Doxing--in-the-Cyber-Hack-Era.html?soid=1114009586911&aid=Ww3CFgGMtBo

 

Un gros article de synthèse sur les évolutions technologiques sur les services de renseignements:

https://foreignpolicy.com/2019/04/27/the-spycraft-revolution-espionage-technology/

EDIT : mon message a été mangé par le serveur (erreur "champ obligatoire", je le referait un jour si j'en ai le temps :/ )

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Le 17/07/2018 à 12:36, rogue0 a dit :

Tiens, j'apprend que l'histoire du traître passé à l'incinérateur (dixit Suvorov, répété dans les Tom Clancy) est contestée...

Déterrage et citation de ce post d'un autre fil de discussion, à l'occasion de la découverte d'une critique d'une bouquin de Suvorov : https://www.washingtonpost.com/archive/entertainment/books/1986/05/11/a-soviet-defector-cashes-in-on-his-story/7c2c7b7c-db32-4836-a4ac-cac918e2c5b2/

Je n'ai jamais lu les bouquins de ce personnage, mais la critique est correctement argumentée. Ce qui m'étonne, c'est que je n'avais jamais entendu parler d'allégations aussi délirantes chez Suvorov, ce qui veut dire que tous ceux qui l'ont utilisé comme source soit

1) les ont trouvées normales :rolleyes:

2) ont senti qu'il ne valait mieux pas les utiliser, mais n'ont pas hésité à reprendre le reste du bouquin.

Dans les deux cas, ce n'est pas trop glorieux.

En plus, Suvorov est aussi l'auteur du "Brise-glace", une théorie complotiste selon laquelle Staline se préparait à attaquer le III. Reich et Hitler n'a fait que le pré-empter, théorie appuyée "comme il faut" par des citations sorties de leur contexte, des interprétations abusives etc.

Y a-t-il quelque-chose à sauver aujourd'hui des écrits de Suvorov ?

Ce qui serait intéressant, c'est de voir ce que le personnage, défecteur du GRU, a réellement dit dans un tout autre contexte, lorsqu'il était débriefé par les SR occidentaux... (j'ai regardé s'il y avait des infos dans ce sens, des rapports déclassifiés mais rien trouvé).

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

Témoignage d'un "traître" militaire estonien, d'origine russe, condamné pour espionnage au profit de la Russie.
https://www.theatlantic.com/international/archive/2019/06/estonia-russia-deniss-metsavas-spy/592417/?utm_medium=social&amp;utm_campaign=the-atlantic&amp;utm_term=2019-06-26T16%3A36%3A53&amp;utm_content=edit-promo&amp;utm_source=twitter

C'est un article fleuve (réserve : écrit sous la surveillance des SR estoniens (poétiquement appelés KAPO)).
Mais qui donne un exemple très humain de l'engrenage dans lequel on peut se faire prendre.
EDIT: (et c'était un officier modèle, qui a fait des apparitions à la TV pour promouvoir que les estoniens d'origine russe sont aussi de bons citoyens...)

Il s'est fait prendre par les ficelle classiques (et d'autres moins classique):

Révélation
  1. "Pot de miel" : une blonde facile venant de l'est
  2. Kompromat (via la sextape) : accusation de viol, "qu'on peut oublier  en échange de petit service".
    (s'il avait refusé, de toute façon, ça aurait  grillé sa carrière de militaire en Estonie)
     
  3. De retour au pays, après quelques mois, ferrage du poisson :
    Rappel du Kompromat, petit service : vente d'information non classifiée.
    (sans doute filmée pour le mouiller définitivement... et "nous savons tout sur ta famille")
     
  4. Une fois qu'il est complètement mouillé, pompage d'information intensif sur les plans de l'OTAN.
     
  5. Quand il a tenté d'arrêter ... le GRU lui a montré que son père (estonien prorusse) était aussi un espion...
    Et a menacé de le griller.

 

Ce qui est dommage, c'est qu'il n'a pas tenté de retourner sa veste en allant voir le contre espionnage estonien (devenir agent double).
Mais je suppose que l'officier traitant du GRU avait assez d'expérience pour bien le manipuler.

L'article fait aussi référence aux SR estonien qui grillent en série les agents russes (+ les auxilliaires : des criminels et contrebandiers : j'étais persuadé d'avoir posté un article sur les contrebandiers de tabac russes, qui ont aidé à enlever un agent estonien... mais je ne retrouve plus mon post :sad:)

 

Modifié par rogue0
  • J'aime (+1) 1
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 003
    Total des membres
    1 749
    Maximum en ligne
    pandateau
    Membre le plus récent
    pandateau
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...