La menace des pirates russes plane sur les plateformes cloud

27 février 2024 à 14h24
3
Le cloud, la nouvelle cible des hackers russes - © Ar_TH / Adobe Stock
Le cloud, la nouvelle cible des hackers russes - © Ar_TH / Adobe Stock

Les pays membres de l'alliance de renseignement Five Eyes (FVEY) signalent que les cyberpirates du groupe APT29, affilié au Service russe de renseignement extérieur (SVR), se tournent vers les plateformes cloud.

Dans un avertissement sans précédent, les agences de cybersécurité des Five Eyes (États-Unis, Royaume-Uni, Australie, Canada et Nouvelle-Zélande) ont tiré la sonnette d'alarme sur les récentes activités des pirates russes, particulièrement du groupe APT29, également connu sous plusieurs alias, dont SVR, Cozy Bear et The Dukes. Ces cybercriminels, connus pour leur sophistication et leur lien avec les services de renseignement russes, concentrent tous leurs efforts sur les infrastructures cloud, une stratégie qui pourrait avoir des conséquences dévastatrices pour les entreprises et les gouvernements du monde entier.

Des antécédents

Les cyberespions russes ont également réussi à infiltrer les comptes Microsoft 365 de diverses entités appartenant aux pays membres de l'OTAN, dans le but d'acquérir des données relatives à la politique étrangère. Leurs cibles incluaient des gouvernements, des ambassades et des hauts fonctionnaires à travers l'Europe, dans le cadre d'une série d'attaques de phishing.

Plus récemment, en janvier, Microsoft a confirmé que le groupe de piratage affilié au Service russe de renseignement extérieur avait compromis les comptes Exchange Online de ses dirigeants ainsi que ceux d'utilisateurs d'autres organisations en novembre 2023. Ils n'en sont donc pas à leur coup d'essai.

L'attaque du cloud

Les agences Five Eyes ont identifié qu'APT29, les pirates russes, exploitaient les environnements cloud de leurs cibles en utilisant des informations d'identification de compte de service d'accès compromises, obtenues lors d'attaques par force brute ou par pulvérisation de mots de passe. Ils tirent parti de comptes dormants non supprimés, laissés après le départ des utilisateurs des organisations ciblées, ce qui facilite leur « réaccès » après la réinitialisation du mot de passe à l'échelle du système.

Les vecteurs initiaux de violation du cloud d'APT29 incluent également l'utilisation de jetons d'accès volés qui leur permettent de pirater des comptes sans utiliser d'informations d'identification, des routeurs résidentiels compromis pour « proxyer » leur activité malveillante, la lassitude du MFA pour contourner l'authentification multifacteur (MFA) et l'enregistrement de leurs propres appareils comme nouveaux appareils sur les locataires cloud des victimes. Le tour est joué.

L'authentification multifacteur, une des clés de protection contre les pirates russes - @ Shutterstock/Thapana_Studio
L'authentification multifacteur, une des clés de protection contre les pirates russes - @ Shutterstock/Thapana_Studio

Des mesures préventives

Les pirates du SVR utilise des outils sophistiqués comme le malware MagicWeb pour échapper à la détection dans les réseaux des gouvernements et organisations critiques en Europe, aux États-Unis et en Asie.

« Pour les organisations qui ont migré vers une infrastructure cloud, la première ligne de défense contre un acteur tel que SVR devrait être de se protéger contre les TTP [Tactiques, Techniques et Procédures, NDLR] de SVR pour l'accès initial », conseillent les Five Eyes.

Pour se protéger contre ces attaques, les défenseurs du réseau devraient par conséquent activer l'authentification multifacteur autant que possible et renforcer les mots de passe ou encore réduire la durée de vie des sessions pour limiter l'utilisation des jetons volés.



Le Cloud est largement représenté dans le monde de l'hébergement web. Cette solution modulable et performante offre une excellente alternative pour les sites à moyenne volumétrie et accueillant régulièrement des pics de trafics. Le cloud est au centre de la stratégie de nombreux hébergeurs, comme OVHCloud et IONOS Cloud. Retrouvez notre comparatif des meilleurs services d'hébergement cloud en 2024.
Lire la suite

Mélina LOUPIA

Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issu...

Lire d'autres articles

Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issue de la génération Facebook que la guerre intestine entre Mac et PC passionne encore. En daronne avisée, Internet, ses outils, pratiques et régulation font partie de mes loisirs favoris (ça, le lineart, le tricot et les blagues pourries). Ma devise: l'essayer, c'est l'adopter, mais en toute sécurité.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (3)

Laurent_Marandet
Les five eyes: des crapules qui nous espionnent autant que les russes et les chinois avec la complicité passive de nos gouvernants.
Rainforce
les agences de cybersécurité des Five Eyes (États-Unis, Royaume-Uni, Australie, Canada et Nouvelle-Zélande)<br /> Pas un qui parle anglais.
os2
et eux c’est certain qui ne doivent pas utilsier le cloud pour espionner la planète…
Voir tous les messages sur le forum
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet