Les États-Unis et Microsoft portent un coup dur à la cyberfraude russe en saisissant 107 domaines dans le cadre d'une répression mondiale
Dans le cadre d’une vaste opération de lutte contre la cyberfraude, Microsoft et le ministère américain de la Justice (DoJ) ont récemment annoncé la saisie de 107 domaines Internet utilisés par des cybercriminels soutenus par l’État russe . Cette opération s’inscrit dans le cadre d’une lutte permanente contre les cyberattaques, en particulier celles liées au vol d’informations sensibles et à l’abus de confiance numérique.
Table des matières
La connexion russe : cibler les données des Américains
Ces domaines, gérés par des cybercriminels liés au gouvernement russe, étaient principalement utilisés pour faciliter la fraude et les abus informatiques. L'objectif du groupe ? Voler des informations sensibles aux Américains en incitant les victimes à divulguer leurs identifiants de connexion via de faux comptes de messagerie électronique, mais convaincants. La procureure générale adjointe Lisa Monaco a déclaré : « Le gouvernement russe a mis en place ce stratagème pour voler des informations sensibles aux Américains, en utilisant des comptes de messagerie apparemment légitimes pour inciter les victimes à révéler leurs identifiants de compte. »
Les coupables de ces cyberattaques sont attribués à un groupe connu sous le nom de COLDRIVER. Si le nom ne vous dit peut-être pas immédiatement quelque chose, le groupe est connu sous divers pseudonymes : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard, et bien d'autres. COLDRIVER, également appelé TAG-53 et UNC4057, serait une unité opérationnelle du Service fédéral de sécurité russe (FSB), active depuis au moins 2012.
Sanctions et pression croissante sur COLDRIVER
Ces dernières années, les efforts des forces de l’ordre se sont intensifiés contre le groupe. En décembre 2023, les gouvernements britannique et américain ont imposé des sanctions à deux membres éminents de COLDRIVER : Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets. Ces individus ont été pointés du doigt pour leur rôle dans la collecte d’identifiants et le lancement de campagnes de spear-phishing, des efforts très ciblés visant à infiltrer les systèmes de responsables du gouvernement américain, de personnel militaire et d’organisations de la société civile. D’autres sanctions ont été imposées par le Conseil européen en juin 2024, ce qui a renforcé la pression internationale sur le groupe.
Les domaines – une porte d’entrée vers les cyber-intrusions
Parmi les 107 domaines saisis, 41 ont été principalement utilisés par les attaquants pour mener des campagnes de spear-phishing contre le gouvernement américain. Ces campagnes ciblaient des comptes de messagerie de haut niveau dans le but de voler des identifiants et d'accéder à des informations précieuses, souvent classifiées. Cette tactique est un élément clé du plan opérationnel de COLDRIVER, qui combine furtivité et ingénierie sociale pour inciter les utilisateurs à compromettre des systèmes sensibles.
Le ministère de la Justice a constaté que les auteurs de la menace avaient violé plusieurs lois sur l’accès aux ordinateurs, notamment l’accès non autorisé aux systèmes gouvernementaux et aux ordinateurs protégés. Ces actions malveillantes ont causé des dommages importants, soulignant la nature persistante et évolutive de la cybercriminalité moderne.
Action civile de Microsoft contre le réseau COLDRIVER
Parallèlement aux saisies de domaines, Microsoft a pris des mesures juridiques pour neutraliser 66 domaines Internet supplémentaires associés à COLDRIVER. Ces domaines ont été utilisés pour cibler plus de 30 entités et organisations de la société civile entre janvier 2023 et août 2024, en se concentrant principalement sur les ONG et les groupes de réflexion qui soutiennent les employés du gouvernement, le personnel militaire et les agents du renseignement. Les opérations du groupe se sont étendues à tous les pays de l'OTAN comme le Royaume-Uni et les États-Unis, avec un intérêt particulier pour les organisations fournissant un soutien à l'Ukraine, ce qui indique clairement les objectifs géopolitiques de la Russie.
Steven Masada, avocat général adjoint de l'unité de lutte contre les crimes numériques de Microsoft (DCU), a souligné la gravité de ces campagnes. « Les opérations de Star Blizzard sont implacables, exploitant la confiance, la confidentialité et la familiarité des interactions numériques quotidiennes », a-t-il fait remarquer. Il a souligné que le groupe s'est montré particulièrement agressif en ciblant d'anciens responsables des services de renseignement, des experts des affaires russes et même des citoyens russes résidant aux États-Unis.
La quête incessante de données de COLDRIVER
Depuis janvier 2023, Microsoft a identifié 82 clients ciblés par COLDRIVER, ce qui témoigne de la persistance du groupe. « Leur fréquence souligne la diligence du groupe à identifier des cibles de grande valeur, à créer des e-mails de phishing personnalisés et à développer l'infrastructure nécessaire au vol d'identifiants », a ajouté Masada. Cette poursuite incessante démontre que le groupe affine constamment ses méthodes pour garder une longueur d'avance sur les mesures défensives.
Les victimes, souvent inconscientes de l'intention malveillante derrière ces e-mails de phishing, interagissent sans le savoir avec ces messages frauduleux. Par conséquent, leurs identifiants sont compromis, ce qui donne aux cybercriminels accès à des données sensibles et à des réseaux de grande valeur.
Un pas en avant dans la lutte contre la cybercriminalité
Les efforts conjoints de Microsoft et du gouvernement américain pour saisir ces domaines marquent une victoire cruciale dans la guerre en cours contre les cyberattaques sponsorisées par les États. Bien que cette répression perturbe pour l'instant les opérations de COLDRIVER, l'histoire du groupe suggère qu'elles continueront d'évoluer, ce qui rend crucial pour les gouvernements, les organisations et les individus de rester vigilants.
La saisie de ces domaines n’est qu’une étape dans un effort plus vaste visant à protéger les informations sensibles, à sécuriser la confiance numérique et à tenir les cybercriminels responsables de leurs actes. Alors que les cybermenaces continuent d’évoluer, l’importance de mesures de sécurité robustes et de réponses coordonnées à l’échelle mondiale ne peut être surestimée.