APT29, également connu sous le nom de Cozy Bear et Cloaked Ursa, abuse du service de stockage en nuage Google Drive pour distribuer des logiciels malveillants, ont averti les chercheurs.
Plus tôt cette semaine, Unit 42 (la branche cybersécurité de Palo Alto Networks) a découvert que le groupe, prétendument soutenu par l’État russe, utilisait Google Drive pour faciliter deux campagnes ciblant des diplomates et des ambassades au Portugal et au Brésil.
« Il s’agit d’une nouvelle tactique pour cet acteur et qui s’avère difficile à détecter en raison de la nature omniprésente de ces services et du fait qu’ils bénéficient de la confiance de millions de clients dans le monde », affirme Unit 42.
« Lorsque l’utilisation de services de confiance est associée au chiffrement, comme nous le voyons ici, il devient extrêmement difficile pour les organisations de détecter les activités malveillantes en lien avec la campagne. »
Tel que rapporté par Tech Crunchbien que ce soit peut-être la première fois qu’APT29 utilise spécifiquement Google Drive, le groupe n’est pas étranger à l’abus de services Web légitimes pour ses actes néfastes.
En mai de cette année, par exemple, le groupe a utilisé Dropbox dans le cadre de son infrastructure de commande et de contrôle, obligeant la société de partage de fichiers à fermer ses comptes.
Unit 42 a notifié Google et Dropbox, qui auraient tous deux pris des mesures. Jusqu’à présent, Google n’a pas commenté publiquement les résultats.
APT29 est un acteur de menace infâme dans le monde de la cybersécurité, peut-être mieux connu pour l’attaque SolarWinds (s’ouvre dans un nouvel onglet). C’est APT29 qui a utilisé des informations d’identification Microsoft 365 volées pour compromettre l’infrastructure de SolarWinds, puis a utilisé l’accès au réseau pour empoisonner une mise à jour de service avec des logiciels malveillants.
Cette mise à jour a fini par être installée sur des terminaux appartenant à des dizaines de milliers d’entreprises, ainsi qu’à des institutions gouvernementales américaines. Il est généralement considéré comme l’une des attaques les plus dévastatrices de la chaîne d’approvisionnement de tous les temps.
Selon Tech Crunchle service extérieur de l’UE a également récemment averti tout le monde de l’activité croissante des pirates informatiques russes, en particulier depuis l’invasion de l’Ukraine.
« Cette augmentation des cyber-activités malveillantes, dans le contexte de la guerre contre l’Ukraine, crée des risques inacceptables d’effets d’entraînement, d’interprétation erronée et d’une éventuelle escalade », a-t-il déclaré.
Via TechCrunch (s’ouvre dans un nouvel onglet)