Dans son rapport publié à la fin du mois de mai, MELANI esquisse le mode opératoire des assaillants de Ruag.
Septembre 2014:
En remontant dans les historiques d’activité des serveurs de Ruag, les experts de MELANI ont constaté que le piratage avait déjà commencé en septembre 2014. Ces archives ayant été supprimées lors d’opérations de maintenance, les cyber-flics ne disposent d’aucun indice au-delà de cette date. Il se peut très bien que l’infiltration ait eu lieu avant.
Septembre 2014-décembre 2015:
Les cyber-criminels utilisent un maliciel de la famille Turla. Depuis 2008, Turla attaque des sites gouvernementaux. Dans le cas de Ruag, le virus s’en est pris à des cibles précises. D’abord en attaquant le service Active Directory, c’est-à-dire l’annuaire pour groupes et utilisateurs de Windows. Cette première réussite lui a permis d’infecter d’autres dispositifs, afin de pouvoir contrôler d’autres appareils pour accéder et utiliser les droits et appartenances de groupes ciblés.
Décembre 2015:
Plus d’une année après l’infiltration, les services de renseignement allemands fournissent les premiers indices de cyber-espionnage aux autorités suisses.
Janvier 2016:
La cyberattaque est détectée dans l’historique des serveurs de Ruag. Le groupe et les services fédéraux ouvrent un «incident majeur». A la fin du mois, le Département de la défense met sur pied une task force pour surveiller l’infection.
Janvier 2016:
Le Ministère public de la Confédération ouvre une enquête pénale contre inconnu.
Mai 2016:
La presse suisse dévoile publiquement la cyberattaque. Le Conseil livre des informations sur le dossier qu’il avait classifié secret.
