Hooded spy in underground hideout trying to steal valuable data by targeting governmental websites with weak security. Espionage specialist doing cyber attacks to gain access to sensitive info

Le Royaume-Uni blâme le fameux groupe «  Fancy Bear  » de la Russie pour les hacks Cloud Microsoft

Lucas Morel

NCSC sanctions 18 officiers russes, connectant l’utilisation de l’outil d’espionnage authentique des bouffonneries à l’unité GRU notoire.

Les cyberattaques récentes déploient le puissant outil de logiciels malveillants pour cibler les comptes de cloud Microsoft étaient le travail du célèbre groupe de piratage d’ours de fantaisie russe, a déclaré le National Cyber Security Center (NCSC) du Royaume-Uni.

Des bouffonneries authentiques ont été découvertes après une cyberattaque en 2023, ce qui a provoqué un démontage technique du NCSC du malware qu’il a publié en mai de cette année. L’agence a maintenant confirmé les soupçons de tout le monde en attribuant officiellement la plate-forme à l’unité de renseignement militaire GRU 26165 de la Russie, mieux connue sous le nom de Fancy Bear ou APT 28.

Cependant, où la plupart des rapports sur l’espionnage ont tendance à passer sous silence sur les détails, le dernier rapport du NCSC offre un niveau de contexte inhabituel sur les opérations d’ours fantaisie présumées et les agents russes derrière eux.

Au total, 18 officiers du renseignement et commandants sont nommés et sanctionnés financièrement par le NCSC entre les unités GRU 29155 et 74455, en plus de 26165 lui-même.

Une «campagne pour déstabiliser l’Europe»

Fancy Bear est devenu un nom familier en Occident pour des attaques telles que les données des athlètes de la fuite de 2016 de l’agence antidopage (AMA) et une violation de données similaire au Comité national démocrate américain (DNC) lors de l’élection présidentielle de la même année.

Selon le NCSC, l’unité a mené de nombreuses attaques depuis lors, notamment le ciblage des comptes de messagerie de Yulia et Sergei Skripal qui ont aidé dans leur tentative de meurtre en 2018.

« Gru Spies mène une campagne pour déstabiliser l’Europe, saper la souveraineté de l’Ukraine et menacer la sécurité des citoyens britanniques », a commenté le ministre britannique des Affaires étrangères, David Lammy.

« Le Kremlin devrait être sans aucun doute: nous voyons ce qu’ils essaient de faire dans l’ombre, et nous ne le tolérerons pas. C’est pourquoi nous prenons des mesures décisives avec des sanctions contre les espions russes. La protection du Royaume-Uni contre le préjudice est fondamentale pour le plan de changement de ce gouvernement », a-t-il ajouté.

À quel point les bouffonneries authentiques sont-elles dangereuses?

Comme tous les cyber-outils de l’État-nation, les bouffonneries authentiques sont bonnes dans ce qu’elle est conçue pour faire, dans ce cas, voler les informations d’identification du compte Microsoft Office via de fausses invites de connexion ou par des jetons OAuth 2.0.

Le malware utilise une gamme de techniques pour échapper à la détection, notamment la communication à l’aide de services légitimes et l’exfiltration de données volées à partir de comptes piratés en envoyant des e-mails innocents.

« Il n’y a pas de commande et de contrôle traditionnels mis en œuvre qui peuvent avoir augmenté la probabilité qu’il soit détecté », a noté l’analyse NCSC de May.

La mauvaise nouvelle est donc qu’il est très difficile à détecter. La bonne nouvelle est qu’il n’est probablement que utilisé uniquement contre des cibles spécifiques, ce qui signifie qu’il est peu susceptible d’être largement déployé. Cependant, il n’y a toujours pas de mal à étudier les indicateurs de compromis (IOC) documentés par le NCSC ou à appliquer les règles YARA sur les plates-formes de protection des points de terminaison.

Sortir un ours

Pourquoi faire un tel historique sur l’ours fantaisie, les unités russes du GRU, les agents nommés et les outils de piratage avancés?

Au-delà du besoin évident d’avertir le monde de ces activités, les révélations illustrent une forme de guerre d’information qui a été lancée par les États-Unis au cours de la dernière décennie, contre la Chine en particulier. Cette tactique soutient qu’une façon de contrer l’espionnage de l’État-nation est de nommer des noms, sanctionnant de vraies personnes, qui époustouflent la mystique qui entoure souvent certains de ces groupes, en particulier lorsqu’ils ont donné des désignations inscriptibles telles que Fancy Bear ou APT 28.

Il met également en évidence l’ennemi que ses outils sont connus, obligeant les adversaires à dépenser l’effort en développement de nouveaux.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent