Les pirates du SVR russe utilisent Google Drive et Dropbox pour échapper à la détection
Des pirates informatiques soutenus par l’État et appartenant au Service de renseignement extérieur de la Fédération de Russie (SVR) ont commencé à utiliser le service de stockage en nuage légitime Google Drive pour échapper à la détection.
En utilisant des services de stockage en ligne auxquels des millions de personnes dans le monde font confiance pour exfiltrer des données et déployer leurs logiciels et outils malveillants, les acteurs russes de la menace abusent de cette confiance pour rendre leurs attaques extrêmement difficiles, voire impossibles, à détecter et à bloquer.
Le groupe de menaces repéré sous le nom d’APT29 (alias Cozy Bear ou Nobelium) a adopté cette nouvelle tactique lors de récentes campagnes visant des missions diplomatiques occidentales et des ambassades étrangères dans le monde entier entre début mai et juin 2022.
“Nous avons découvert que leurs deux campagnes les plus récentes ont exploité pour la première fois les services de stockage en nuage Google Drive”, ont déclaré les analystes de l’Unité 42 qui ont repéré cette nouvelle tendance.
“L’omniprésence des services de stockage en nuage Google Drive – combinée à la confiance que leur accordent des millions de clients dans le monde – rend leur inclusion dans le processus de diffusion de malwares de cette APT exceptionnellement préoccupante.”
Cependant, comme Mandiant l’a révélé dans un rapport d’avril suivant l’une des campagnes de phishing du groupe, ce n’est pas la première fois que les pirates de l’APT29 abusent de services web légitimes à des fins de commande et de contrôle et de stockage.
Tout comme dans les campagnes observées par l’Unité 42, Mandiant a également vu les attaques de phishing du groupe de cyberespionnage contre les employés de diverses organisations diplomatiques à travers le monde, un centre d’intérêt cohérent avec les intérêts stratégiques géopolitiques russes actuels et le ciblage antérieur d’APT29.
Aperçu de la campagne de phishing d’APT29 (Unité 42)
Les cibles de premier plan d’APT29
APT29 (également suivi par Cozy Bear, The Dukes et Cloaked Ursa) est la division de piratage du Service russe de renseignement extérieur (SVR) qui a mené l’attaque de la chaîne d’approvisionnement SolarWinds, qui a conduit à la compromission de plusieurs agences fédérales américaines en 2020.
Fin juillet, le ministère américain de la justice a été le dernier gouvernement américain à révéler que 27 bureaux de procureurs américains avaient été violés lors du piratage mondial de SolarWinds.
En avril 2021, le gouvernement américain a officiellement accusé la division SVR d’avoir coordonné la “campagne de cyberespionnage à grande échelle” de SolarWinds, qui a conduit à la compromission de plusieurs agences gouvernementales américaines.
Depuis, APT29 a pénétré dans les réseaux d’autres organisations à la suite de l’attaque de la chaîne d’approvisionnement de SolarWinds, en utilisant des logiciels malveillants furtifs qui sont restés indétectés pendant des années, notamment une variante de la porte dérobée GoldMax Linux et un nouveau logiciel malveillant repéré sous le nom de TrailBlazer.
Le groupe cible également la chaîne d’approvisionnement informatique, comme l’a révélé Microsoft en octobre, compromettant au moins 14 entreprises après avoir attaqué environ 140 fournisseurs de services gérés (MSP) et fournisseurs de services cloud depuis mai 2021.
L’unité 42 a également observé récemment l’outil de simulation d’attaques adverses Brute Ratel déployé dans des attaques soupçonnées d’être liées aux cyberespions russes du SVR.
Comme les analystes des menaces d’Unit 42 l’ont observé à l’époque, l’échantillon Brute Ratel “a été emballé d’une manière cohérente avec les techniques connues d’APT29 et leurs récentes campagnes, qui ont exploité des applications de stockage en nuage et de collaboration en ligne bien connues.”
French 
Italian 