• Votre panier est vide.

  • LOGIN

Des pirates russes tentent de forcer des centaines de réseaux à l’aide de brute force


Certains articles de veille peuvent faire l'objet de traduction automatique.


La découverte de La campagne d’espionnage russe dévastatrice de SolarWinds a mis en lumière les techniques sophistiquées de détournement de la chaîne d’approvisionnement utilisées par les pirates des services de renseignement étrangers de Moscou. Mais il est désormais évident que, tout au long de cette campagne d’espionnage SolarWinds et de ses retombées, un autre groupe de pirates du Kremlin a poursuivi son travail quotidien habituel, en utilisant des techniques basiques mais souvent efficaces pour ouvrir pratiquement tous les réseaux vulnérables qu’ils pouvaient trouver aux États-Unis et sur l’Internet mondial.

Jeudi, la NSA, le FBI, l’Agence de cybersécurité et de sécurité des infrastructures du DHS et le Centre national de cybersécurité du Royaume-Uni ont publié un communiqué de presse sur le sujet. Cet avertissement fait état de centaines de tentatives d’intrusion par force brute dans le monde entier, toutes menées par l’unité 26165 de l’agence de renseignement militaire russe GRU, également connue sous le nom de Fancy Bear ou APT28. La campagne de piratage a visé un large éventail d’organisations, notamment des agences gouvernementales et militaires, des entreprises de défense, des partis politiques et des cabinets de conseil, des entreprises de logistique, des sociétés d’énergie, des universités, des cabinets d’avocats et des entreprises de médias. En d’autres termes, pratiquement tous les secteurs d’intérêt sur Internet.

La campagne de piratage a utilisé des techniques relativement basiques contre ces cibles, en devinant les noms d’utilisateur et les mots de passe en masse pour obtenir un accès initial. Mais les agences de cybersécurité préviennent que la campagne de Fancy Bear a néanmoins réussi à pénétrer dans plusieurs entités et à en exfiltrer des courriels, et que ce n’est pas fini. « Cette longue campagne de force brute visant à collecter et à exfiltrer des données, des identifiants d’accès et autres, est probablement en cours, à l’échelle mondiale », a écrit Rob Joyce, directeur de la cybersécurité de la NSA, dans un communiqué accompagnant l’avis.

L’unité 26165 du GRU, plus que les espions de l’agence de renseignement SVR qui ont mené la campagne SolarWinds, ont un passé de piratage hautement perturbateur. Fancy Bear était derrière les opérations de piratage et de fuite qui ont visé tout le monde, du Comité national démocrate et de la campagne Clinton en 2016 au Comité international d’organisation olympique et à l’Agence mondiale antidopage. Mais il n’y a pas encore de raison de croire que les intentions de ce dernier effort vont au-delà de l’espionnage traditionnel, dit John Hultquist, vice-président de la société de sécurité Mandiant et traqueur de longue date du GRU.

« Ces intrusions ne laissent pas nécessairement présager les manigances auxquelles on pense quand on pense au GRU », dit Hultquist. Mais cela ne signifie pas que la campagne de piratage n’est pas significative. Il considère l’avis conjoint, qui cite les adresses IP et les logiciels malveillants utilisés par les pirates, comme une tentative d’ajouter des « frictions » à une opération d’intrusion réussie. « C’est un bon rappel que le GRU est toujours là, menant ce genre d’activité, et il semble se concentrer sur des cibles d’espionnage plus classiques comme les décideurs politiques, les diplomates et l’industrie de la défense. »

L’inclusion de cibles du secteur de l’énergie dans cette campagne de piratage soulève un drapeau rouge supplémentaire, d’autant plus qu’une autre équipe de pirates du GRU, Sandworm, reste les seuls pirates à avoir jamais déclenché de véritables pannes d’électricité, en sabotant les services publics d’électricité ukrainiens en 2015 et 2016. Le département de l’énergie a séparément averti début 2020 que des pirates avaient ciblé une « entité énergétique » américaine juste avant Noël en 2019. Cet avis comprenait des adresses IP qui ont ensuite été mises en correspondance avec l’unité 26165 du GRU, comme l’a d’abord rapporté WIRED l’année dernière. « Je suis toujours inquiet lorsque je vois le GRU dans l’espace énergétique », déclare Hultquist. Malgré cela, il voit toujours le simple espionnage comme une motivation probable. « Il est important de se rappeler que la Russie est un État pétrolier. Elle a un intérêt massif dans le secteur de l’énergie. Cela va faire partie de leurs exigences en matière de collecte de renseignements. »

Le piratage par force brute du GRU peut être « opportuniste » plutôt que ciblé, affirme Joe Slowik, qui dirige le service de renseignement de la société de sécurité Gigamon et qui a été le premier à repérer le lien entre l’alerte du ministère de l’Énergie et le GRU. Selon lui, l’équipe pourrait simplement accéder à tous les réseaux qu’elle peut trouver avant de céder cet accès à d’autres pirates du Kremlin chargés de missions plus spécifiques, comme l’espionnage ou la perturbation. « Ils sont chargés d’aller chercher des points d’accès dans des organisations d’intérêt », explique Slowik. « Ensuite, ils s’assoient dessus ou le transmettent à des parties qui s’occupent d’intrusions plus impliquées, en fonction de l’accès qu’ils sont en mesure de trouver. »

Voir aussi :

juillet 2, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)