Microsoft met en garde contre l’élargissement de la cyberwarwarfare russe alors que les attaquants exploitent le logiciel de gestion informatique pour violer les entreprises.
Un groupe de piratage russe soutenu par l’État exécute l’une des campagnes de cyber-espionnage les plus approfondies jamais vues, infiltrant les infrastructures critiques sur plusieurs continents en exploitant des vulnérabilités dans le logiciel de gestion informatique.
L’opération, attribuée au célèbre acteur de menace russe, Blizzard, a compromis des objectifs de haut niveau dans les secteurs énergétique, télécommunications, de défense et gouvernemental, y compris aux États-Unis, au Canada, en Australie et au Royaume-Uni, a déclaré Microsoft dans un rapport.
Le logiciel a averti que l’échelle et la persistance de ces attaques présentent un risque immédiat et grave pour la cybersécurité mondiale.
« Actif depuis au moins 2021, ce sous-groupe au sein de la blizzard Seashell a exploité des techniques d’accès opportuniste et des formes de persistance furtives pour collecter des informations d’identification, obtenir l’exécution de la commande et prendre en charge le mouvement latéral qui a parfois conduit à des compromis de réseau régional substantiels », a déclaré Microsoft dans le rapport.
Les activités de Seashell Blizzard s’alignent sur celles suivis par d’autres vendeurs de sécurité sous divers noms, notamment BE2, UAC-0133, Blue Echidna, Sandworm, Phantom, BlackEnergy Lite et APT44.
La cyber-guerre russe se dilate au-delà de l’Ukraine
Le sous-groupe de piratage suivi comme la «campagne Badpilot» est actif depuis au moins 2021, se concentrant à l’origine sur l’Ukraine et l’Europe. Microsoft rapporte que l’opération a maintenant étendu sa portée en Amérique du Nord, en Asie centrale et au Moyen-Orient.
« Le ciblage géographique à une échelle presque globale élargit les opérations de Blizzard au-delà de l’Europe de l’Est », indique le rapport.
Seashell Blizzard, lié à l’unité de renseignement militaire de la Russie 74455 (GRU), a une longue histoire de cyberespionnage et de cyberattaques destructrices alignées sur les intérêts du Kremlin.
Cette dernière campagne démontre la sophistication croissante du groupe dans la mise en œuvre des tactiques de furtivité et des méthodes d’accès opportunistes pour prendre le contrôle des réseaux de grande valeur.
Armement des logiciels informatiques contre les entreprises mondiales
Depuis le début de 2024, les pirates ont exploité des vulnérabilités dans des outils de gestion informatique largement utilisés, notamment ConnectWise ScreenConnect (CVE-2024-1709) et Fortinet Forticlient EMS (CVE-2023-48788). En compromettant ces systèmes d’entreprise critiques, le groupe a acquis un accès non détecté aux réseaux, a averti Microsoft.
«Les opérations spécialisées de Seashell Blizzard ont varié de l’espionnage aux opérations d’information et aux perturbations cyberlativées, généralement sous la forme d’attaques destructrices et de manipulation des systèmes de contrôle industriel (CI)», indique le rapport. «Les méthodes d’accès opportunistes décrites dans cette campagne continueront d’offrir des opportunités en Russie pour les opérations et activités de niche.»
L’évolution du groupe en évolution a rendu ses attaques de plus en plus difficiles à détecter, ce qui lui permet d’établir des anges persistantes dans des cibles de haut niveau dans le monde.
Certaines des attaques notoires du sous-groupe comprennent des attaques destructrices telles que Killdisk et Foxblade, des attaques de chaîne d’approvisionnement telles que Medoc et des attaques de pseudo-ransomwares telles que NotPetya et Prestige, a noté Microsoft dans le rapport.
Les cyberattaques de montage signalent une menace croissante pour les entreprises
Microsoft a lié le sous-groupe à au moins trois cyberattaques destructrices en Ukraine depuis 2023, soulignant la gravité de ses opérations. Le rapport souligne que si certaines attaques semblent aveugles, la stratégie globale offre à la Russie un cyber-accès précieux pour les futures opérations militaires et de renseignement.
« Depuis avril 2022, les acteurs des menaces alignés par la Russie ont de plus en plus ciblé des organisations internationales qui sont soit géopolitiquement importantes, soit fournissent un soutien militaire et / ou politique à l’Ukraine », a noté Microsoft.
Les industries ciblées comprennent la fabrication d’armes, l’expédition et l’énergie – des secteurs essentiels à la sécurité nationale et à la stabilité géopolitique. La portée croissante de la campagne indique un besoin urgent de mesures de cybersécurité plus fortes parmi les entreprises et les gouvernements.
«En raison de leur spécialisation dans l’exploitation des réseaux informatiques (CNE) et de l’expertise ciblant les infrastructures critiques telles que les circuits intégrés et les systèmes de contrôle de la surveillance et d’acquisition de données (SCADA), les opérations de Blizzard au coquillage ont souvent été exploitées lors des conflits militaires et en tant qu’élément adaptable lors d’événements géopolitiques controversés et en tant qu’éléments géopolitiques litigieux et en tant qu’éléments contentieux sur le litige, contidives », A ajouté le rapport.
Le rapport indique que Microsoft suivit activement les opérations de Seashell Blizzard et avide les organisations affectées. Il a également exhorté les entreprises à prendre des mesures immédiates en corrigeant les vulnérabilités connues, en appliquant la segmentation du réseau et en adoptant un cadre de sécurité zéro-frust. « Les équipes de sécurité devraient surveiller les journaux d’activité suspecte et examiner les indicateurs de compromis liés aux méthodes d’attaque en évolution de Blizzard », a suggéré Microsoft dans le rapport.
