Connect with us

Technologie

Analystes de Mandiant: les APT soutenus par la Russie sont susceptibles d’intensifier les attaques

Published

on


La crise internationale en ukraine – qui a déjà vu des sites Web gouvernementaux attaqués – est susceptible d’engendrer de nouvelles cyberattaques offensives au fur et à mesure qu’elle se développe, et les inquiétudes grandissent quant au fait que les activités futures se propagent pour englober des cibles en dehors de l’Ukraine, selon Mandiant, qui a averti aujourd’hui les équipes de sécurité informatique à travers l’Europe d’être à l’affût d’activités malveillantes.

Les cyberattaques de la semaine dernière ont vu un groupe de piratage prétendument lié à la Biélorussie, un allié clé de la Russie, utiliser plusieurs techniques pour accéder à ses cibles, notamment la compromission des systèmes d’un fournisseur de services informatiques, des exploits liés à la vulnérabilité Log4Shell dans Apache Log4j2 et des attaques par déni de service distribué (DDoS). Celles-ci ont été accompagnées d’une vague d’attaques qui ont défiguré les sites Web du gouvernement ukrainien, soi-disant pour détourner l’attention des tentatives d’injection manuelle de logiciels malveillants dans les systèmes gouvernementaux.

Mandiant pense maintenant que les groupes de menaces persistantes avancées (APT) liés à la Russie et à ses alliés mèneront d’autres cyberintrusions, alors que l’impasse se poursuit. Beaucoup d’entre eux seront probablement liés à la collecte d’informations et à l’espionnage, mais la possibilité de cyberattaques plus agressives ou même destructrices ne devrait pas être écartée, ont averti les analystes de la société.

Dans un article exposant l’ampleur potentielle de la menace pour les organisations mondiales, John Hultquist, vice-président de Mandiant Threat Intelligence, a déclaré: « Les cybercapacités sont un moyen pour les États de rivaliser pour obtenir des avantages politiques, économiques et militaires sans la violence et les dommages irréversibles susceptibles de dégénérer en conflit ouvert.

« Alors que les opérations d’information et les cyberattaques telles que les opérations électorales américaines de 2016 et l’incident de NotPetya peuvent avoir de graves conséquences politiques et économiques, la Russie peut les favoriser parce qu’elle peut raisonnablement s’attendre à ce que ces opérations ne conduisent pas à une escalade majeure du conflit.

« Mandiant recommande aux défenseurs de prendre des mesures proactives pour renforcer leurs réseaux contre [destructive attacks] et a fourni un guide pour ce processus… gratuitement pour le public », a écrit Hultquist.

Hultquist a déclaré que les APT de cyberespionnage soutenus par le Kremlin, tels que UNC2452, Turla et APT28, auraient « presque certainement » été chargés de recueillir des renseignements sur la crise, en tirant parti de leur expertise dans la pénétration de cibles gouvernementales, militaires et diplomatiques pour recueillir des renseignements pour Moscou. D’autres groupes, dont certains opèrent à partir de la région séparatiste du Donbass en Ukraine, et de la Crimée, qui a été annexée par la Russie en 2014 et a été illégalement occupée depuis lors, pourraient également être mis en service.

Pendant ce temps, des opérations d’information, ou plutôt de désinformation et de désinformation, y compris la création de contenu fabriqué et la manipulation de plateformes de médias sociaux, sont probablement déjà en cours, et on peut s’attendre à voir davantage de campagnes de ce type ciblant des pays d’Europe de l’Est – tels que les membres de l’OTAN, la Roumanie et la Bulgarie, dont la Russie exige maintenant le retrait de l’alliance.

Les campagnes d’information sont devenues une caractéristique régulière de la cyberactivité russe, cherchant à contrôler les récits et à en implanter de nouveaux qui font avancer les intérêts de Moscou en exploitant les divisions au sein et entre les États-nations qu’elle cible, en sapant la confiance dans les institutions démocratiques et en semant la méfiance au sein de blocs tels que l’OTAN et l’Union européenne (UE).

Ces campagnes ont inclus l’utilisation de documents falsifiés et de photographies falsifiées, qui ont été utilisées avec succès contre l’Estonie dans une récente campagne baptisée Secondary Infektion. Dans d’autres cas, les opérations d’information russes ont fait appel à des tiers, y compris des journalistes et des militants, pour tenter de « blanchir » des mensonges.

Attaques destructrices plus peu fréquentes

Les cyberattaques perturbatrices et destructrices ont toujours été des éléments moins fréquemment utilisés de l’arsenal cybernétique de la Russie par rapport aux campagnes d’espionnage et de désinformation, bien que lorsqu’elles étaient utilisées, elles aient eu des impacts profonds et durables – NotPetya (qui ciblait l’Ukraine mais s’est propagé beaucoup plus loin) par le soi-disant Ver de sable APT étant probablement le plus notable.

De telles attaques prennent diverses formes, des attaques DDoS déjà vues aux attaques plus complexes sur les infrastructures nationales critiques (CNI), les attaques les plus efficaces – NotPetya étant à nouveau un exemple très pertinent – se concentrant sur les dommages causés aux cibles critiques avec de vastes réseaux en aval d’utilisateurs, de clients et de dépendances.

De telles attaques nécessitent cependant plus de travail pratique et ont donc un délai de livraison plus long. Dans le contexte de la crise actuelle en Ukraine, cela pourrait suggérer que de telles attaques, si elles se produisent, cibleront des organisations qui ont déjà été compromi.sed bien à l’avance. Alternativement, a déclaré Mandiant, des outils plus destructeurs pourraient être utilisés contre un plus grand groupe de cibles simultanément, très probablement par le biais de compromissions web stratégiques et de chaînes d’approvisionnement logicielles. Dans le même temps, a averti Mandiant, ces attaquants essaieraient probablement d’obscurcir leurs actions en plantant de faux drapeaux, en fabriquant des preuves de culpabilité, en faisant des déclarations trompeuses pour épingler les attaques contre les autres, etc.

Au-delà des organisations gouvernementales et du secteur public, les personnes les plus à risque incluraient probablement les transports et la logistique, les services financiers et les médias, et il est possible que dans certaines circonstances, les groupes de ransomware soient également exploités, le gouvernement russe ayant un « accès inégalé » aux cybercapacités criminelles, a noté Hultquist.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance