Actus

Les pirates du SVR russe utilisent Google Drive et Dropbox pour échapper à la détection

Par hfrance , le 19 juillet 2022 - 4 minutes de lecture
5/5 - (1 vote)

Des pirates informatiques soutenus par l’État et appartenant au Service de renseignement extérieur de la Fédération de Russie (SVR) ont commencé à utiliser le service de stockage en nuage légitime Google Drive pour échapper à la détection.

En utilisant des services de stockage en ligne auxquels des millions de personnes dans le monde font confiance pour exfiltrer des données et déployer leurs logiciels et outils malveillants, les acteurs russes de la menace abusent de cette confiance pour rendre leurs attaques extrêmement difficiles, voire impossibles, à détecter et à bloquer.

Le groupe de menaces repéré sous le nom d’APT29 (alias Cozy Bear ou Nobelium) a adopté cette nouvelle tactique lors de récentes campagnes visant des missions diplomatiques occidentales et des ambassades étrangères dans le monde entier entre début mai et juin 2022.

“Nous avons découvert que leurs deux campagnes les plus récentes ont exploité pour la première fois les services de stockage en nuage Google Drive”, ont déclaré les analystes de l’Unité 42 qui ont repéré cette nouvelle tendance.

“L’omniprésence des services de stockage en nuage Google Drive – combinée à la confiance que leur accordent des millions de clients dans le monde – rend leur inclusion dans le processus de diffusion de malwares de cette APT exceptionnellement préoccupante.”

Cependant, comme Mandiant l’a révélé dans un rapport d’avril suivant l’une des campagnes de phishing du groupe, ce n’est pas la première fois que les pirates de l’APT29 abusent de services web légitimes à des fins de commande et de contrôle et de stockage.

Tout comme dans les campagnes observées par l’Unité 42, Mandiant a également vu les attaques de phishing du groupe de cyberespionnage contre les employés de diverses organisations diplomatiques à travers le monde, un centre d’intérêt cohérent avec les intérêts stratégiques géopolitiques russes actuels et le ciblage antérieur d’APT29.

APT29 phishing campaign overview

Aperçu de la campagne de phishing d’APT29 (Unité 42)

Les cibles de premier plan d’APT29

APT29 (également suivi par Cozy Bear, The Dukes et Cloaked Ursa) est la division de piratage du Service russe de renseignement extérieur (SVR) qui a mené l’attaque de la chaîne d’approvisionnement SolarWinds, qui a conduit à la compromission de plusieurs agences fédérales américaines en 2020.

Fin juillet, le ministère américain de la justice a été le dernier gouvernement américain à révéler que 27 bureaux de procureurs américains avaient été violés lors du piratage mondial de SolarWinds.

En avril 2021, le gouvernement américain a officiellement accusé la division SVR d’avoir coordonné la “campagne de cyberespionnage à grande échelle” de SolarWinds, qui a conduit à la compromission de plusieurs agences gouvernementales américaines.

Depuis, APT29 a pénétré dans les réseaux d’autres organisations à la suite de l’attaque de la chaîne d’approvisionnement de SolarWinds, en utilisant des logiciels malveillants furtifs qui sont restés indétectés pendant des années, notamment une variante de la porte dérobée GoldMax Linux et un nouveau logiciel malveillant repéré sous le nom de TrailBlazer.

Le groupe cible également la chaîne d’approvisionnement informatique, comme l’a révélé Microsoft en octobre, compromettant au moins 14 entreprises après avoir attaqué environ 140 fournisseurs de services gérés (MSP) et fournisseurs de services cloud depuis mai 2021.

L’unité 42 a également observé récemment l’outil de simulation d’attaques adverses Brute Ratel déployé dans des attaques soupçonnées d’être liées aux cyberespions russes du SVR.

Comme les analystes des menaces d’Unit 42 l’ont observé à l’époque, l’échantillon Brute Ratel “a été emballé d’une manière cohérente avec les techniques connues d’APT29 et leurs récentes campagnes, qui ont exploité des applications de stockage en nuage et de collaboration en ligne bien connues.”

Source

  • HP LaserJet MFP M140w - imprimante multifonctions - Noir et blanc
    L’imprimante multifonction laser la plus compacte au monde dans sa catégorie conçue pour une performance efficace.Bénéficiez d’une numérisation de haute qualité, et partagez sur Dropbox, Google Drive ou le cloud, depuis votre téléphone grâce à l’application HP Smart.Pensez à tout sauf à l'encre. Avec le forfait d'impression Instant Ink, votre cartouche de toner est livrée automatiquement avant que vous tombiez à court et la livraison est incluse.La technologie intelligente HP Auto-On/Off laisse votre imprimante allumée uniquement lorsqu’elle est utilisée. Une imprimante multifonction laser efficace et de haute qualité qui s'adapte à votre espace.<br/>Obtenez une impression rapide avec l'imprimante laser la plus compacte au monde dans sa catégorie ainsi que l'application HP Smart qui vous fait gagner du temps.<br/>Vous pouvez compter sur une impression laser de qualité professionnelle et une configuration transparente.<br/><br/>Imprimante avec sécurité dynamique<br/><br/>Certaines imprimantes HP ont été conçues pour fonctionner uniquement avec des cartouches disposant d'une puce ou d'un circuit électronique HP neuf ou réutilisé.<br/>Ces imprimantes sont équipées d'un dispositif de sécurité dynamique pour bloquer les cartouches utilisant une puce ou un circuit électronique non-HP.<br/>Les mises à jour périodiques du micrologiciel permettent d'assurer l'efficacité de ces mesures et bloquent les cartouches qui fonctionnaient auparavant.<br/>Les puces et circuits électroniques HP réutilisés permettent d'utiliser des cartouches réutilisées, reconditionnées ou recyclées. - Offre exclusivement réservée aux professionnels
  • HP LaserJet MFP M234dw - imprimante multifonctions - Noir et blanc
    Enchaînez les documents de plusieurs pages avec l'impression recto-verso la plus rapide de sa catégorie.Bénéficiez d’une numérisation de haute qualité. Partagez sur Dropbox, Google Drive, par e-mail ou via le cloud, depuis pratiquement partout, grâce à l’application HP Smart.Lancez-vous rapidement avec une configuration simple qui vous guide à chaque étape. Il vous suffit de télécharger l'application HP Smart, de vous connecter à un réseau, et de partager votre imprimante sur tous vos appareils.Cette imprimante HP LaserJet respecte les exigences des écolabels, y compris ENERGY STAR and BLUE ANGEL. Une imprimante MFP haute productivité dotée de l'impression recto-verso la plus rapide de sa catégorie et l'application HP Smart qui vous fait gagner du temps.<br/>Vous pouvez compter sur des connexions plus fiables pour votre tranquillité d'esprit et sur une expérience sans tracas avec la configuration simplifiée. - Offre exclusivement réservée aux professionnels

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.