La Russie continue d’augmenter le nombre et la sophistication de ses cyberattaques. Parrainés et financés par le gouvernement Poutine, les groupes cybercriminels ont intensifié leurs campagnes ces derniers mois là où les services de stockage cloud tels que DropBox ou Google Drive sont devenus des cibles quotidiennes.

La Russie et sa vaste organisation d’experts en cybercriminalité ont constaté que la faiblesse ne réside pas dans l’insécurité de ces plateformes, mais dans l’extrême confiance que les utilisateurs leur accordent. Et la confiance signifie que la vigilance est réduite. Un rapport réalisé par Palo Alto Nertworks (PAWN) montre que les Russes trouvent des moyens d’exploiter cette confiance pour rendre leurs attaques extrêmement difficiles à détecter et à prévenir. Les dernières campagnes menées par une menace persistante avancée (APT) suivie par Cloaked Ursa, leader mondial de la cybersécurité (également connue sous le nom d’APT29, Nobelium ou Cozy Bear), démontrent sa sophistication et sa capacité à intégrer rapidement les services de stockage cloud populaires pour éviter d’être détectés.

Cloaked Ursa est spécialisée dans ce type de services. Plusieurs cyberattaques sont déjà apparues sur des plateformes populaires comme Trello et plus récemment, ses deux dernières campagnes ont profité pour la première fois des vulnérabilités de Google Drive. La société de cybersécurité affirme que l’omniprésence des services de stockage cloud de la plateforme Google Drive, combinée à la confiance qu’elle accorde à des millions de clients à travers le monde, rend son inclusion dans le processus de livraison des logiciels malveillants de cette APT particulièrement préoccupante.

La Russie et son armée de cybercriminels ont constaté qu’une confiance extrême dans des plateformes comme Trello ou Google Drive peut conduire à une cyberattaque réussie.

La clé du succès des attaquants de Poutine réside dans le fait que lorsque l’utilisation de services de confiance est combinée au chiffrement, il devient extrêmement difficile pour les organisations de détecter les activités malveillantes liées à la campagne. Et c’est ça,L’industrie de la cybersécurité est certaine que le gouvernement russe est derrière Cloaked Ursa. Il s’agit d’un ancien groupe de cybercriminels dont l’origine remonte aux campagnes de malwares contre la Tchétchénie et d’autres pays de l’ancien bloc soviétique en 2008, dont l’Ukraine. Ces dernières années, le piratage du Comité national démocrate (DNC) des États-Unis en 2016 a été attribué à ce groupe, ainsi que les compromissions de la chaîne d’approvisionnement de SolarWinds en 2020. En augmentant la spécificité de l’attribution, les États-Unis et les États-Unis Le Royaume-Uni a publiquement attribué ce groupe au Service russe de renseignement extérieur (SVR).

Les dernières cyberattaques visaient des missions diplomatiques occidentales et ont eu lieu en mai et juin derniers. Les données indiquent qu’elle a touché certaines légations au Portugal et au Brésil et que pour mener à bien la cyberattaque, ils ont inscrit à l’ordre du jour des diplomates une réunion avec un lien qui contenait un fichier HTML malveillant (EnvieScout) et qui a permis de propager le malware à travers le réseau de la mission.

Selon PANW, les dernières campagnes de Cloaked Ursa (également connue sous le nom d’APT 29/Nobelium/Cozy Bear) démontrent sa sophistication et sa capacité à intégrer rapidement les services cloud pour éviter d’être détectée. L’utilisation de services cloud légitimes et fiables n’est pas totalement nouvelle pour ce groupe.

Les clients de Palo Alto Networks sont protégés contre les indicateurs de compromission (IoC) décrits dans la publication Unit 42 grâce au filtrage avancé des URL, à la sécurité DNS et à l’analyse des logiciels malveillants de WildFire.

La visualisation complète des techniques observées, des plans d’action pertinents et des IoC liés à ce rapport peut être trouvée dans la visionneuse ATOM de l’unité 42. Palo Alto Networks a également travaillé pour divulguer cette activité à Google et DropBox, et ils ont pris des mesures pour bloquer l’activité.

A lire également