Posté le mai 11, 2022 à 9:54
LA RUSSIE SUBIT DES VAGUES DE CYBERATTAQUES DE LA PART DE HACKERS PRO-UKRAINIENS
Pendant longtemps, la Russie a été considérée comme une force avec laquelle il fallait compter en matière de menaces de cybersécurité et de cyberespionnage. Mais depuis que le pays a envahi l’Ukraine, il fait l’objet de vagues de cyberattaques. Par le passé, la plupart des acteurs de menaces redoutaient de lancer des attaques sur le sol Russe en raison du risque d’une attaque de représailles plus sévère. Toutefois, ces craintes ne sont plus d’actualité.
Le pays continue de faire face à une série d’attaques en ligne de la part de différents groupes de menaces, la plupart d’entre eux se montrant solidaires de l’Ukraine dans la guerre en cours. Des cas de cyberattaques contre des entreprises et des institutions Russes sont signalés presque quotidiennement.
Bien que la guerre physique en Ukraine soit toujours aussi féroce, il semble que la Russie soit lourdement perdante en matière de cyberguerre. Les hackers pro-Ukrainienne lancent une série d’attaques en ligne contre les infrastructures critiques de la Russie, notamment ses canaux de communication, son énergie et d’autres installations importantes.
La Russie frappée par des vagues de cyberattaques
CrowdStrike a révélé que des acteurs pro-Russes ont attaqué des sites Web Russes et Biélorusses avec des attaques DDoS. Selon le rapport, ces attaques ont mis hors ligne certains sites Web. Les hackers ont attaqué les pots de Docker Engine par une attaque DDoS via une API de Docker Engine exposée.
Les pots de miel Docker Engine auraient été compromis entre le 27 février et le 1er mars 2022. Les pots de miel ont été infiltrés par les hackers qui cherchaient à utiliser l’outil pour exécuter différentes images Docker afin de cibler des sites Web Biélorusses et Russes.
Les listes de l’image Docker sont utilisées côte à côte avec certains domaines partagés par l’armée informatique Ukrainienne (UIA) soutenue par le gouvernement Ukrainien.
Le groupe a initialement rallié certains de ses membres pour intensifier leurs efforts de piratage contre les entreprises et les institutions basées en Russie. Toutefois, le gouvernement Ukrainien a mis en garde contre le risque d’attaques de représailles de la part de ceux qui soutiennent la Russie dans la crise actuelle. Par ailleurs, la société de cybersécurité Mandiant a découvert un autre groupe de hackers baptisé UMC3524. Les hackers utilisent les méthodes employées par les deux groupes basés en Russie – APTT28 et APT29. Toutefois, il n’est pas certain que l’action ait été commise par un groupe connu.
Les hackers utilisent des outils sophistiqués
Dans la plupart des cas, les acteurs étatiques ciblent généralement les infrastructures critiques des organisations gouvernementales. Mais le fait de cibler des personnes impliquées dans des transactions commerciales montre que leur motivation peut être financière. Cependant, si l’on considère d’un autre point de vue la durée pendant laquelle ils ont réussi à rester dans le système de la victime.
Leur capacité à rester dans le système de la victime sans être détectés est plus longue que la durée moyenne de présence de 2 jours en 2021, selon un rapport de M-Trends 2022.
L’une des raisons pour lesquelles le groupe est connu pour avoir réussi à s’installer aussi longtemps est que les hackers ont choisi d’installer des portes dérobées sur les appareils de l’environnement des victimes qui ne disposent pas d’outils de sécurité adéquats. Certains de ces appareils ne disposent pas d’une protection Endpoint ou anti-virus.
Le groupe se distingue par une faible empreinte de logiciels malveillants, un haut niveau de sécurité opérationnelle et de grandes capacités d’évasion. Lorsque l’environnement d’une victime détecte et supprime son accès, il ne lui faut que peu de temps pour se réinstaller dans l’environnement sans opposer de forte résistance. Une fois qu’ils ont compromis à nouveau l’environnement avec différents mécanismes, ils poursuivent leur campagne de vol de données.
Les hackers parrainés par la Chine sont également actifs
Par ailleurs, la société de cybersécurité Cybereason a annoncé qu’elle suivait une campagne de piratage menée par un État-nation et visant des entreprises technologiques et manufacturières du monde entier.
Selon les chercheurs de la société de sécurité, l’activité des hackers peut être classée dans la catégorie « degré de confiance modéré à élever » et attribuée au groupe de menaces soutenu par la Chine connu sous le nom de Winnti ou APT41.
L’année dernière, les chercheurs en sécurité ont enquêté sur plusieurs intrusions qui ciblent des entreprises manufacturières et technologiques en Europe, en Asie et en Amérique du Nord. Cependant, les attaques peuvent être retracées en 2019, lorsque la campagne de cyberespionnage sophistiquée contre ces entreprises a commencé à fonctionner.
Le chercheur a également noté que le groupe a passé des années à identifier des données précieuses. Par conséquent, on pense qu’ils ont réussi à exfiltrer des centaines de gigaoctets d’informations. Les acteurs de la menace ont lancé des attaques contre la propriété intellectuelle développée par les victimes, notamment des formules, des diagrammes, des plans, des données exclusives liées à la fabrication et d’autres documents sensibles.
En outre, outre le vol d’informations nécessaires sur le moment, ils ont également volé des informations sensibles qu’ils pourraient utiliser pour de futures attaques. Il s’agit notamment de détails tels que les e-mails des employés, les comptes et les informations d’identification des utilisateurs, les données des clients, l’architecture du réseau et des informations sur les unités commerciales de l’entreprise cible.
