Devis de remise multi-licences
Sécurité informatique Les pirates informatiques russes de Blizzard ont piraté...

Les pirates informatiques russes de Blizzard ont piraté des cibles d'infrastructures critiques, prévient Microsoft

Par Mura en Sécurité informatique
Se traduisent par :
Français

Un groupe de pirates informatiques dangereux lié à la Russie, connu sous le nom de Seashell Blizzard, a intensifié ses attaques contre des infrastructures critiques dans le monde entier, suscitant des inquiétudes quant à un cyberespionnage à long terme et à des opérations destructrices. Selon un avertissement récent de Microsoft, ce groupe ne se contente pas d'infiltrer des systèmes de grande valeur, mais s'implante également profondément pour maintenir le contrôle à long terme sur les réseaux compromis.

Seashell Blizzard est un acteur russe notoire de la menace

Seashell Blizzard, également connu sous les noms d'APT44, BlackEnergy Lite, Sandworm, Telebots et Voodoo Bear, est une menace informatique importante depuis au moins 2009. Il est largement admis que le groupe opère sous l'égide de l'agence de renseignement militaire russe, le GRU (plus précisément de l'unité 74455). Seashell Blizzard est connu pour ses attaques destructrices, notamment le tristement célèbre ransomware NotPetya qui a paralysé des entreprises mondiales en 2017 et le malware KillDisk qui a ciblé des systèmes critiques ukrainiens en 2015.

Au fil des années, Seashell Blizzard a ciblé des secteurs d’infrastructures critiques tels que :

  • Énergie
  • Approvisionnement en eau
  • Institutions gouvernementales
  • Réseaux militaires
  • Télécommunications
  • Transport
  • Fabrication

Ces attaques ne sont pas aléatoires : elles s’alignent étroitement sur les objectifs militaires russes, notamment en Ukraine, où la cyberguerre est un élément clé de la stratégie de conflit plus large de la Russie.

Un nouveau sous-groupe axé sur l'accès permanent

Le dernier rapport de Microsoft met en évidence l'émergence d'un sous-groupe au sein de Seashell Blizzard qui opère depuis au moins quatre ans dans l'ombre. Ce sous-groupe se consacre à une mission essentielle : obtenir un accès initial aux systèmes vulnérables et établir une persistance à long terme. Cela permet aux pirates de garder le contrôle des systèmes compromis pendant des mois, voire des années, et d'être prêts à lancer des attaques perturbatrices à tout moment.

Baptisée campagne BadPilot , cette opération est en cours depuis 2021 et se concentre sur l'infiltration de cibles de grande valeur pour faciliter des compromissions de réseau plus larges. Les méthodes du sous-groupe sont décrites comme furtives et hautement opportunistes, s'appuyant sur les vulnérabilités des logiciels et des systèmes Internet largement utilisés.

Exploiter les vulnérabilités connues

Les attaquants exploitent des failles de sécurité bien connues dans les systèmes populaires, notamment :

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • EMS Fortinet FortiClient (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Suite collaborative Zimbra (CVE-2022-41352)
  • Serveur de discussion OpenFire (CVE-2023-32315)
  • Serveur de build TeamCity (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Serveurs JBOSS (CVE non spécifié)

Les pirates informatiques utilisent une approche agressive de type « spray-and-pray », en analysant Internet à la recherche de systèmes vulnérables et en les attaquant en masse. Une fois à l'intérieur, ils s'intègrent à l'aide d'outils tels que des shells Web et des logiciels de surveillance et de gestion à distance (RMM), garantissant ainsi un contrôle à long terme sur les systèmes compromis.

Techniques d'alarme utilisées pour maintenir le contrôle

Une fois qu'un système est compromis, le sous-groupe déploie plusieurs techniques de persistance :

  • Déploiements Web Shell : fournir un accès de porte dérobée pour le contrôle à distance.
  • Outils RMM : permettre un accès discret et un déploiement supplémentaire de logiciels malveillants.
  • Récolte d'informations d'identification : modification des pages de connexion OWA et des paramètres DNS pour voler les informations d'identification des utilisateurs.
  • Injection JavaScript : ajout de code malveillant aux portails de connexion pour collecter les noms d'utilisateur et les mots de passe.

    • Dans plusieurs cas, cet accès persistant a précédé des attaques destructrices, suggérant que les pirates maintiennent une capacité à double usage – espionnage et sabotage – en fonction des besoins militaires et géopolitiques russes.

    Expansion mondiale : les États-Unis et le Royaume-Uni sont désormais dans le collimateur

    Alors que l'Ukraine a été la cible principale des cyberopérations de Seashell Blizzard, le rapport de Microsoft révèle que ce sous-groupe a étendu sa portée en 2023, ciblant des organisations aux États-Unis et au Royaume-Uni. Cette expansion signale un changement dangereux, suggérant que le plan de guerre cybernétique de la Russie élargit son champ d'action pour inclure les nations occidentales.

    Une menace persistante et croissante

    Microsoft prévient que ce sous-groupe ne ralentit pas. En fait, il est probable qu'il continue d'évoluer et de déployer des techniques innovantes pour infiltrer les réseaux du monde entier. Avec la guerre en cours entre la Russie et l'Ukraine et la montée des tensions géopolitiques, les cyberattaques contre les infrastructures critiques pourraient avoir des conséquences dévastatrices dans le monde réel.

    Protégez votre organisation contre le blizzard des coquillages

    Les organisations des secteurs critiques doivent prendre des mesures immédiates pour se défendre contre cette menace persistante :

    • Corriger les vulnérabilités connues : assurez-vous que les systèmes exécutant ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire et d'autres logiciels ciblés sont entièrement mis à jour.
    • Renforcez la sécurité du réseau : déployez l’authentification multifacteur (MFA), limitez l’accès aux systèmes sensibles et surveillez les activités inhabituelles.
    • Surveiller la persistance : effectuez des audits de sécurité réguliers pour détecter les shells Web non autorisés, les outils RMM ou les modifications apportées aux pages de connexion et aux configurations DNS.
    • Préparation à la réponse aux incidents : préparez-vous aux attaques perturbatrices potentielles en élaborant un plan de réponse complet et en vous assurant que les sauvegardes sont sécurisées et régulièrement testées.

    Dernier avertissement

    Seashell Blizzard et son sous-groupe d'accès initial représentent un danger clair et actuel pour les infrastructures critiques à l'échelle mondiale. Leur quête incessante d'un accès permanent pourrait servir de précurseur à un cyber-sabotage à grande échelle, capable de perturber les réseaux énergétiques, l'approvisionnement en eau, les systèmes de transport et les opérations gouvernementales. Les dernières découvertes de Microsoft sont un rappel brutal : la prochaine cyberattaque majeure pourrait déjà se cacher dans les systèmes critiques, attendant le signal pour frapper.


    Chargement...