Microsoft a réussi à saisir des domaines utilisés par APT28, un groupe parrainé par l’État et exploité par le renseignement militaire russe, pour cibler des institutions en Ukraine.
Le géant de la technologie a déclaré jeudi dans un article de blog que Strontium – le surnom de Microsoft pour APT28 ou «Fancy Bear», un groupe de piratage lié au GRU russe – a utilisé les domaines pour cibler plusieurs institutions ukrainiennes, y compris des médias, ainsi que des institutions gouvernementales et groupes de réflexion impliqués dans la politique étrangère aux États-Unis et en Europe.
« Nous pensons que Strontium tentait d’établir un accès à long terme aux systèmes de ses cibles, de fournir un soutien tactique à l’invasion physique et d’exfiltrer des informations sensibles », a déclaré Tom Burt, vice-président de Microsoft pour la sécurité des clients.
Microsoft a déclaré avoir obtenu le 6 avril une ordonnance du tribunal l’autorisant à prendre le contrôle de sept domaines qu’APT28 utilisait pour mener ses cyberattaques. « Nous avons depuis redirigé ces domaines vers un gouffre contrôlé par Microsoft, ce qui nous permet d’atténuer l’utilisation actuelle de ces domaines par Strontium et d’activer les notifications aux victimes », a ajouté Burt. « Nous avons informé le gouvernement ukrainien de l’activité que nous avons détectée et des mesures que nous avons prises. »
Cette action fait partie d’une enquête plus large de Microsoft sur le groupe de piratage parrainé par l’État russe qui a débuté en 2016. Microsoft a obtenu plusieurs décisions de justice ces dernières années pour saisir l’infrastructure utilisée par APT28. À ce jour, Microsoft a déposé 15 autres plaintes contre le groupe de menaces soutenu par la Russie, conduisant à la saisie de plus de 100 domaines malveillants contrôlés par les espions russes.
Le groupe de hackers soutenu par la Russie est actif depuis au moins 2009, ciblant principalement les médias, l’armée, les organisations de sécurité et les gouvernements du monde entier, y compris un piratage du Parlement fédéral allemand en 2015 et une attaque contre le Comité national démocrate en 2016.
APT28 a également été lié à la récente cyberattaque contre le fournisseur américain de communications par satellite Viasat, un incident qui a déclenché des pannes de service par satellite en Europe centrale et orientale. Un rapport récent de SentinelOne a déclaré que l’attaque était probablement le résultat d’un logiciel malveillant destructeur d’essuie-glace qui partage des similitudes avec le logiciel malveillant VPNFilter, qui a infecté des milliers de routeurs et de périphériques réseau domestiques et de petites entreprises dans le monde entier. En 2018, le FBI a attribué l’opération VPNFilter à APT28.
Burt de Microsoft a déclaré que les attaques d’APT28 « ne sont qu’une petite partie de l’activité que nous avons vue en Ukraine », ajoutant que la société a « observé presque tous les acteurs de l’État-nation russes engagés dans l’offensive à grande échelle en cours contre le gouvernement ukrainien et Infrastructure. »
Les saisies de domaine de Microsoft ont atterri quelques jours seulement après que le FBI a déclaré qu’il avait supprimé un énorme botnet également géré par le GRU.
Lire la suite: