Hewlett Packard Enterprise (HPE) a déclaré mercredi que des acteurs soutenus par le Kremlin avaient piraté les comptes de messagerie de son personnel de sécurité et d’autres employés en mai dernier et y avaient maintenu un accès clandestin jusqu’en décembre. Cette divulgation était la deuxième révélation d’une violation majeure du réseau d’entreprise par le groupe de piratage informatique en cinq jours.
Le groupe de piratage qui a frappé HPE est le même que celui qui, selon Microsoft, s’est introduit vendredi dans son réseau d’entreprise en novembre et a surveillé les comptes de messagerie des cadres supérieurs et des membres de l’équipe de sécurité jusqu’à ce qu’il soit chassé plus tôt ce mois-ci. Microsoft suit le groupe sous le nom de Midnight Blizzard. (En vertu de la convention de dénomination des acteurs menaçants récemment retirée de la société, basée sur des éléments chimiques, le groupe était connu sous le nom de Nobelium.) Mais il est peut-être mieux connu sous le nom de Cozy Bear, bien que les chercheurs l’aient également surnommé APT29, the Dukes, Cloaked. Ursa et Dark Halo.
« Le 12 décembre 2023, Hewlett Packard Enterprise a été informé qu’un acteur étatique présumé, soupçonné d’être l’acteur menaçant Midnight Blizzard, l’acteur parrainé par l’État également connu sous le nom de Cozy Bear, avait obtenu un accès non autorisé à la messagerie cloud de HPE. environnement », ont écrit les avocats de l’entreprise dans un dossier déposé auprès de la Securities and Exchange Commission. « La société, avec l’aide d’experts externes en cybersécurité, a immédiatement activé notre processus de réponse pour enquêter, contenir et remédier à l’incident, éradiquant ainsi l’activité. Sur la base de notre enquête, nous pensons désormais que l’acteur malveillant a accédé et exfiltré des données à partir de mai 2023 à partir d’un petit pourcentage de boîtes aux lettres HPE appartenant à des personnes travaillant dans nos secteurs de cybersécurité, de commercialisation, d’activité et autres.
Un représentant HPE a déclaré dans un e-mail que l’entrée initiale de Cozy Bear dans le réseau s’est faite via « un compte de messagerie HPE Office 365 interne compromis ». [that] a été exploité pour y accéder. Le représentant a refusé de donner plus de détails. Le représentant a également refusé de dire comment HPE a découvert la violation.
Cozy Bear piratant les systèmes de messagerie de deux des entreprises les plus puissantes au monde et surveillant les comptes des principaux employés pendant des mois ne sont pas les seules similitudes entre les deux événements. Les deux violations impliquaient également la compromission d’un seul appareil sur chaque réseau d’entreprise, puis la transmission de cette menace au réseau lui-même. À partir de là, Cozy Bear a campé sans être détecté pendant des mois. L’intrusion de HPE était d’autant plus impressionnante que la divulgation de mercredi indiquait que les pirates avaient également eu accès aux serveurs Sharepoint en mai. Même après que HPE ait détecté et contenu cette violation un mois plus tard, il lui faudrait encore six mois pour découvrir les comptes de messagerie compromis.
Ces deux révélations, espacées de cinq jours, peuvent donner l’impression qu’il y a eu récemment une vague d’activités de piratage. Mais Cozy Bear est en réalité l’un des groupes étatiques les plus actifs depuis au moins 2010. Au cours des 14 années qui ont suivi, il a mené une série d’attaques presque constantes, principalement contre les réseaux d’organisations gouvernementales et les entreprises technologiques qui les fournissent. . Plusieurs services de renseignement et sociétés de recherche privées ont attribué le groupe de piratage informatique à une branche du service de renseignement extérieur russe, également connu sous le nom de SVR.
La vie et l’époque de Cozy Bear (jusqu’à présent)
Dans ses premières années, Cozy Bear opérait dans une relative obscurité – précisément le domaine qu’il préfère – car il piratait principalement des agences gouvernementales occidentales et des organisations connexes telles que des groupes de réflexion politiques et des sous-traitants gouvernementaux. En 2013, des chercheurs de la société de sécurité Kaspersky ont découvert MiniDuke, un logiciel malveillant sophistiqué qui s’était emparé de 60 agences gouvernementales, groupes de réflexion et autres organisations de premier plan dans 23 pays, dont les États-Unis, la Hongrie, l’Ukraine, la Belgique et le Portugal. .
MiniDuke se distinguait par son étrange combinaison de programmation avancée et de références gratuites à la littérature intégrées dans son code. (Il contenait des cordes faisant allusion au discours de Dante Alighieri Comédie divine et en 666, la Marque de la Bête discutée dans un verset du Livre de l’Apocalypse.) Écrit en assemblage, employant plusieurs niveaux de cryptage et s’appuyant sur des comptes Twitter piratés et des recherches automatisées sur Google pour maintenir des communications furtives avec commandement et contrôle. serveurs, MiniDuke faisait partie des logiciels malveillants les plus avancés trouvés à l’époque.
Il n’était pas immédiatement clair qui était derrière ce mystérieux malware – un autre témoignage de la furtivité de ses créateurs. En 2015, cependant, des chercheurs ont lié MiniDuke – et sept autres logiciels malveillants jusqu’alors non identifiés – à Cozy Bear. Après une demi-décennie de recherche, le groupe obscur a été soudainement mis à la lumière du jour.
Cozy Bear a de nouveau pris de l’importance l’année suivante lorsque des chercheurs ont découvert le groupe (avec Fancy Bear, un groupe de piratage informatique distinct de l’État russe) à l’intérieur des serveurs du Comité national démocrate, à la recherche de renseignements tels que les recherches de l’opposition sur Donald Trump, le Candidat républicain à la présidence à l’époque. Le groupe de piratage a refait surface dans les jours qui ont suivi la victoire électorale de Trump cette année-là avec une importante campagne de spear phishing ciblant des dizaines d’organisations du gouvernement, de l’armée, des contrats de défense, des médias et d’autres secteurs.
L’une des principales réalisations de Cozy Bear a eu lieu fin 2020 avec la découverte d’une vaste attaque de la chaîne d’approvisionnement ciblant les clients de SolarWinds, le fabricant d’outils de gestion de réseau d’Austin, au Texas. Après avoir compromis le système de création de logiciels de SolarWinds, le groupe de piratage a envoyé des mises à jour infectées à environ 18 000 clients. Les pirates ont ensuite utilisé ces mises à jour pour compromettre neuf agences fédérales et environ 100 entreprises privées, ont déclaré des responsables de la Maison Blanche.
Cozy Bear est resté actif, avec plusieurs campagnes révélées en 2021, dont une qui utilisait des vulnérabilités zero-day pour infecter des iPhones entièrement mis à jour. L’année dernière, le groupe a consacré une grande partie de son temps aux piratages de l’Ukraine.