Posté le juillet 3, 2021 à 18:44
LES HACKERS RUSSES UTILISENT LA MÉTHODE DE FORCE BRUTE POUR ATTAQUER DES CENTAINES DE RÉSEAUX
L’une des attaques les plus récentes des hackers russes a été la campagne SolarWinds, qui a entraîné des pertes importantes. Cependant, cette campagne a mis en lumière certaines des techniques sophistiquées que ces hackers emploient pour espionner.
Même après l’attaque de SolarWinds, les cyberattaquants russes sont toujours actifs et cherchent d’autres failles qu’ils peuvent exploiter pour espionner diverses institutions. Ces hackers utilisent des outils sophistiqués pour détecter toute vulnérabilité qu’ils peuvent exploiter pour obtenir des informations sur les États-Unis et d’autres institutions mondiales.
Avertissement sur une intrusion par force brute
Le 1er juillet, le FBI, la NSA, l’Agence pour la cybersécurité et la sécurité des infrastructures et le Centre national de cybersécurité du Royaume-Uni ont mis en garde contre une tentative d’attaque par force brute dans un avis commun. Les attaques qui ont eu lieu dans le monde entier ont été attribuées à l’unité 26165 de l’agence de renseignement militaire russe GRU, plus connue sous le nom de Fancy Bear.
Les attaques de piratage de Fancy Bear ont visé des organisations gouvernementales, des organismes militaires, des entreprises de défense, des partis politiques, des entreprises de logistique, des institutions énergétiques, des établissements d’enseignement, des cabinets d’avocats, des entreprises de presse, etc. L’éventail des attaques vise presque toutes les institutions utilisant Internet.
Fancy Bear semble avoir abandonné les techniques sophistiquées et utilise désormais des stratégies élémentaires pour attaquer lesdites organisations. Il s’agit notamment de deviner les identifiants de connexion et les mots de passe pour obtenir un accès. Cependant, ces techniques rudimentaires ont permis à Fancy Bear d’accéder à plusieurs organisations et même de récupérer des e-mails.
Selon Rob Joyce, directeur de la cybersécurité de la NSA, « cette longue campagne de force brute visant à collecter et à exfiltrer des données, des identifiants d’accès et plus encore, est probablement en cours, à l’échelle mondiale. »
Parmi tous les espions du SVR, le groupe Fancy Bears est associé à certaines des attaques informatiques les plus dévastatrices. L’une de ces attaques comprend le piratage de la campagne Clinton en 2016 et la fuite d’informations sensibles. L’organisation a également déjà piraté l’Agence mondiale antidopage et le Comité international d’organisation olympique.
Une autre tentative d’espionnage
Malgré l’utilisation d’une stratégie différente cette fois-ci, John Hultquist, le vice-président de la société de sécurité Mandiant, estime que l’attaque est toujours liée aux tentatives d’espionnage habituelles. Dans sa déclaration, Hultquist affirme que « ces intrusions ne présagent pas nécessairement des manigances auxquelles on pense quand on évoque le GRU. »
Toutefois, Hultquist prévient tout de même que les tentatives de piratage doivent rester préoccupantes, et que les organisations doivent évaluer et réparer toutes les vulnérabilités. Selon lui, la déclaration consultative conjointe visait à entraver le succès de la campagne. La déclaration publiée par les organismes conjoints mentionne le logiciel malveillant utilisé par les acteurs de la menace et leurs adresses IP.
Bien que l’avis n’ait pas révélé le montant considérable des dommages causés, la déclaration a permis de faire prendre conscience que les hackers du Kremlin et ceux de Fancy Bears étaient toujours en activité. En outre, la déclaration a également permis de faire la lumière sur les principales parties visées, à savoir les diplomates, les corps législatifs et les départements militaires.
En outre, M. Hultquist a déclaré qu’il était inquiétant que les acteurs ciblent également les sociétés d’énergie. Au début de l’année dernière, le ministère américain de l’énergie a fait état d’un projet de piratage d’une entreprise énergétique. Ce piratage était lié aux adresses IP de Fancy Bears.
En outre, Sandworm, un autre groupe de hackers du Kremlin, est le seul groupe lié à la cause des pannes d’électricité après avoir attaqué l’Ukraine en 2015 et 2016. Si Hultquist estime que la récente intrusion par force brute pourrait être une autre tentative d’espionnage, il pense que la Russie a un grand intérêt pour les départements de l’énergie et « cela va faire partie de leurs exigences en matière de collecte de renseignements. »
Un autre argument avancé par Joe Slowik, de la société de sécurité Gigamon, est que l’attaque par force brute ne visait pas une organisation spécifique, mais était plutôt une attaque opportuniste. Selon Slowik, les hackers russes pourraient travailler sans but précis, en essayant de trouver les détails d’accès de n’importe quel réseau.
Une fois que Fancy Bears a trouvé les détails, il pourrait les transmettre à d’autres hackers sophistiqués du Kremlin, qui sont maintenant chargés de mener une attaque ciblée. Selon ses propres mots, Slowik a déclaré : « Ils sont chargés d’aller de l’avant et de nous trouver des points d’accès dans des organisations d’intérêt ». « Ensuite, ils s’assoient dessus ou le transmettent à des parties qui s’occupent d’intrusions plus impliquées, en fonction de l’accès qu’ils sont en mesure de trouver. »
Les hackers du Kremlin n’étant pas près de mettre fin à leurs tentatives d’espionnage, l’avis conjoint appelle à la vigilance et à la plus grande attention de la part des organisations qui traitent des données sensibles.
