Microsoft alerte sur les cyberattaques de hackers russes

Quelles sont les nouvelles techniques des cybercriminels russes pour pénétrer les réseaux d'infrastructures critiques à travers le monde ? Microsoft vient de publier les détails d'une enquête édifiante sur BadPilot, un sous-groupe du célèbre gang de hackers Sandworm affilié au renseignement militaire russe.

Un « sous-traitant » de Sandworm qui prépare le terrain

Actif depuis 2021, BadPilot se distingue par son mode opératoire atypique. Le groupe exploite d'abord des failles de sécurité connues pour s'introduire dans les réseaux. Puis il déploie des outils à distance pour maintenir sa présence tout en volant des identifiants.

Une fois le terrain préparé, BadPilot passe le relais à d'autres entités de Sandworm, aussi connu sous le nom d'APT44. Ces dernières peuvent alors lancer des opérations d'espionnage, de vol de données ou des cyberattaques.

Ce sous-groupe a mené des compromissions d'infrastructures Internet à l'échelle mondiale pour permettre à Seashell Blizzard (Sandworm) de persister sur des cibles de grande valeur.

Rapport de Microsoft

Des cibles internationales et des secteurs stratégiques

Entre 2021 et 2023, BadPilot visait principalement l'Ukraine, l'Asie centrale et le Moyen-Orient. Mais depuis le début de l'année, le groupe s'en prend aussi à des organisations en Occident (États-Unis, Canada, Australie, Royaume-Uni).

Au total, des entreprises dans une cinquantaine de pays ont été attaquées, notamment dans des secteurs stratégiques :

• Énergie, gaz et pétrole
• Télécommunications
• Transports maritimes
• Gouvernements

NotPetya et attaques d'infrastructures énergétiques ukrainiennes

Le "gang-mère" de BadPilot, Sandworm, est tristement célèbre pour avoir déployé en 2017 le rançongiciel NotPetya. Celui-ci avait paralysé de nombreuses multinationales comme Saint-Gobain ou Maersk et causé 10 milliards de dollars de dégâts.

Plus récemment, APT44 a multiplié les attaques visant les infrastructures énergétiques ukrainiennes, provoquant d'importantes coupures de courant. Selon Mandiant, le groupe a aussi tenté de pirater des systèmes de gestion d'eau en Europe et aux États-Unis.

Le ciblage géographique à une échelle quasi mondiale de cette campagne étend le champ d'action de Seashell Blizzard (Sandworm).

Microsoft

L'exploitation de vulnérabilités connues, maillon faible

La bonne nouvelle, c'est que BadPilot exploite principalement des vulnérabilités déjà connues et corrigées par les éditeurs. Le groupe profite en fait de la lenteur de certaines organisations à appliquer les correctifs de sécurité.

Les chercheurs de Microsoft ont ainsi observé des tentatives d'exploitation de huit failles, dont certaines affectant Exchange, Outlook, ConnectWise ou encore Fortinet.

Pour se prémunir de ce type d'attaque, la priorité est donc de maintenir ses systèmes et logiciels à jour. Il faut aussi surveiller l'apparition de comportements suspects et d'outils de contrôle à distance non autorisés au sein de son réseau.

Microsoft et d'autres spécialistes en cybersécurité comme Mandiant appellent à la vigilance face à la montée en puissance des opérations destructrices des hackers russes. Des révélations qui confirment la nécessité pour les entreprises de renforcer leurs défenses en profondeur.