L’ingérence russe dans les élections américaines s’accélère dans les délais prévus

Alors que l’élection présidentielle de 2020 approche, les acteurs avancés de la menace persistante (APT) opérant avec le soutien tacite du gouvernement russe intensifient les cyberattaques contre les organisations à droite américaine dans les délais prévus, selon le Centre de renseignement sur les menaces (MSTIC) de Microsoft, qui a récemment publié des informations sur les activités du groupe Fancy Bear – qu’il appelle Strontium.

Il y a quatre ans, Fancy Bear et son homologue Cozy Bear étaient liés à des piratages du Comité national démocrate (DNC) qui se sont révélés être un facteur influent dans la perte de l’élection présidentielle de 2016, conduisant à la déstabilisation mondiale et à l’érosion de l’influence et de la réputation internationales des États-Unis sous le président Trump.

La déstabilisation des États-Unis est considérée comme conforme aux objectifs géopolitiques stratégiques de la Russie, de sorte qu’il a toujours été considéré comme une quasi-certitude que des attaques similaires auraient lieu en 2020.

Les nouvelles preuves de MSTIC relient Fancy Bear à une série d’attaques de récolte d’accréditations récemment découvertes visant des organisations politiques aux États-Unis et au Royaume-Uni qui est en cours depuis septembre 2019. La récolte des titres de compétence est une tactique connue utilisée par Fancy Bear pour obtenir l’accès aux systèmes de ses cibles pour les futures opérations de surveillance ou d’intrusion.

MSTIC a déclaré qu’il avait vu des attaques contre des dizaines de milliers de comptes à plus de 200 organisations depuis Septembre dernier, et près de 7.000 dans la période de deux semaines – 18 août au 3 Septembre 2020 – suite à la nomination officielle de Joe Biden comme candidat des démocrates. MSTIC a ajouté qu’aucun des comptes ciblés n’a été effectivement compromis cette fois-ci.

Dans un billet de blog, Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, a déclaré : « La majorité de ces attaques ont été détectées et arrêtées par des outils de sécurité intégrés à nos produits. Nous avons directement avisé ceux qui ont été ciblés ou compromis afin qu’ils puissent prendre des mesures pour se protéger. Nous partageons plus sur les détails de ces attaques aujourd’hui, et où nous avons nommé les clients touchés, nous le faisons avec leur soutien.

« Ce que nous avons vu est conforme aux tendances d’attaque antérieures qui ciblent non seulement les candidats et les membres du personnel de la campagne, mais aussi ceux qu’ils consultent sur des questions clés. Ces activités soulignent la nécessité pour les personnes et les organisations impliquées dans le processus politique de tirer parti des outils de sécurité gratuits et peu coûteux pour se protéger à mesure que nous nous rapprochons du jour des élections.

MSTIC a déclaré qu’après s’être largement appuyé sur les techniques de spear-phishing il y a quatre ans, Fancy Bear adoptait maintenant une approche différente et utilisait des techniques de force brute ou des outils de pulvérisation de mots de passe. Il a expliqué ce changement de tactique, qui a été observé dans d’autres groupes APT liés à l’État-nation, leur a permis d’effectuer des opérations de récolte d’accréditations à grande échelle d’une manière plus anonymisée.

L’outillage de Fancy Bear, par exemple, permet d’authentification par le biais d’un pool d’environ 1 100 adresses IP qui sont principalement associées au service d’anonymisation Tor. Il ajoute et supprime environ 20 adresses IP à ce pool par jour, et alterne ses tentatives d’authentification contre ce pool environ une fois par seconde. MSTIC juge cela un indicateur que Fancy Bear essaie de mieux obscurcir son activité, et d’éviter que ses attaques soient suivies et attribuées.

Toutefois, il a noté que certains des blocs d’adresses IP étaient plus largement utilisés par l’outillage, ce qui suggère que le service d’anonymisation les surserve, ce qui donne aux défenseurs l’occasion de chasser pour l’activité. Plus de détails à ce sujet, et des conseils sur la défense efficace, sont disponibles auprès de Microsoft.

Burt a déclaré: « Nous croyons qu’il est important que le monde soit au courant des menaces qui pèsent sur les processus démocratiques. Il est essentiel que toutes les personnes impliquées dans les processus démocratiques dans le monde, directement ou indirectement, soient conscientes de ces menaces et prennent des mesures pour se protéger à la fois dans leurs capacités personnelles et professionnelles.

« Nous croyons également qu’un financement fédéral accru est nécessaire aux États-Unis. afin que les États puissent mieux protéger leur infrastructure électorale. Alors que les organisations politiques visées par les attaques de ces acteurs ne sont pas celles qui maintiennent ou exploitent des systèmes de vote, cette activité accrue liée au processus électoral américain est préoccupante pour l’ensemble de l’écosystème.

Burt a déclaré que Microsoft continuerait d’encourager les organismes électoraux locaux et d’État à durcir leurs opérations, mais a déclaré que des fonds supplémentaires pour cela étaient absolument nécessaires, d’autant plus que les ressources sont épuisées pour tenir compte de l’augmentation prévue du vote postal, grâce à la pandémie de Covid-19.

« Nous encourageons le Congrès à aller de l’avant avec des fonds supplémentaires états-Unis et leur fournir ce dont ils ont besoin pour protéger le vote », a-t-il dit.

David Critchley, directeur de MobileIron pour le Royaume-Uni et l’Irlande, a déclaré : « L’annonce d’une plus grande poursuite pour la cybersécurité parrainée par l’État et orientée vers l’élection américaine est un autre rappel frappant de la nécessité pour les personnalités publiques de se défendre correctement contre les cybermenaces. Avec des pirates qui auraient attaqué les deux côtés de l’élection, la menace transcende les lignes politiques du parti et devrait être traitée en conséquence.

« Microsoft a mis en évidence la façon dont les campagnes d’attaque ont cherché à récolter les informations d’identification des personnes en connexion. Les organismes publics peuvent prendre deux mesures simples pour améliorer leurs défenses contre de telles attaques. Tout d’abord, l’élimination des mots de passe et leur remplacement par un moyen d’authentification plus approfondi, comme la biométrie, fournissent aux données critiques des organisations un bien meilleur niveau de protection lors de l’accès. Deuxièmement, en déployant un système de détection de menaces géré doté de capacités avancées d’hameçonnage, les menaces peuvent être efficacement atténuées au fur et à mesure qu’elles surviennent.

Roger Grimes, évangéliste de la défense axée sur les données à KnowBe4, a déclaré que le fait que des fournisseurs tels que Microsoft étaient maintenant mieux en mesure d’attribuer de telles attaques était une évolution positive.

« Il y a dix ans, cela aurait été quelque chose uniquement dans le domaine d’une agence de trois lettres qui a remarqué, probablement accidentellement en enquêtant sur une autre victime, et s’est impliqué dans. Aujourd’hui, ce sont les fournisseurs indépendants qui ont les outils et la télémétrie pour avertir proactivement leurs clients, petits et grands », a-t-il dit.

« C’est vraiment génial et l’un des rares exemples de succès en matière de sécurité informatique que nous devrions célébrer. C’est un pour les gentils.