Microsoft : des cyberespions russes ont pris le contrôle de messageries

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue !

Au programme :

• À la une : 🇷🇺 Microsoft : des comptes de messagerie ciblés par un APT russe

• 💧 Même l’eau peut faire l’objet de cyberattaques

• 🥷 Le rançongiciel Kasseika désactive les protections courantes

• 🇬🇧 Le NCSC alerte sur la menace croissante des logiciels malveillants alimentés par l'IA

• En Image : 🎣 “Quishing” : une nouvelle forme d'escroquerie en plein essor

• Rapport : 📄 Gouvernance de la cybersécurité, le Royaume-Uni prend les choses en main

🇷🇺 Microsoft : des cyberespions russes ont pris le contrôle des comptes de messagerie

Une attaque qui aurait pu facilement être évitée

Microsoft a récemment été victime d'une cyberattaque de grande envergure perpétrée par le groupe de cyber espions affiliés au SVR de Russie, Nobelium. Cette attaque a été confirmée par le PDG de CrowdStrike, George Kurtz, qui a expliqué en détail la sophistication des pirates. Il s’est presque réjoui des déboires de son concurrent majeur sur le marché de la cybersécurité des entreprises. La technique utilisée par le groupe d’espions, également connu sous les noms de APT29, Cozy Bear, The Dukes ou encore Midnight Blizzard selon la convention de nommage de Microsoft, est décrite comme étant délibérément "lente et discrète".

L'attaque, qui a eu lieu en novembre 2023, a été réalisée par le biais d'une simple attaque appelée "password-spray", ou “Pulvérisation de mots de passe” en français. Un type d’attaque par force brute dans lequel un acteur de la menace tente d'utiliser le même mot de passe sur plusieurs comptes. Avec cette technique, les pirates sont parvenus à accéder à un compte test, qui les a ensuite conduit à la compromission d'un “très petit pourcentage de comptes de messagerie d'entreprise Microsoft”, selon un billet de blog de l'entreprise publié le 19 janvier.

L’incident et ses conséquences auraient pu s’arrêter là si les comptes de messagerie compromis, n’étaient pas, entre autres, ceux de cadres supérieurs, de membres des équipes de cybersécurité et des équipes juridiques, de hauts dirigeants de Microsoft, dont certains membres de la direction. Autant dire, le gratin.

De plus, le succès de cette attaque démontre aussi que les comptes compromis n’étaient pas protégés par une authentification multifacteur. Une pratique de sécurité pourtant recommandée par Microsoft pour l’ensemble des comptes.

Les objectifs des assaillants

Au vu de la qualité des comptes compromis, la motivation derrière cette attaque semble être la recherche d'informations spécifiques sur les opérations de Microsoft.

Nobelium, ou Midnight Blizzard, considéré comme faisant partie du service de renseignement russe SVR, est un “adversaire très déterminé […] lent et discret, dans sa façon d'opérer […] Si vous regardez certaines des campagnes qui ont eu lieu au fil des ans, elles se sont déroulées sur plusieurs années, c'est dire à quel point ils sont patients.” a déclaré M. Kurtz.

Par le passé, le groupe a fait parler de lui en ciblant les systèmes de défense des alliés des États-Unis, ainsi que le département de la Défense lui-même. Il a également été responsable de l'attaque contre SolarWinds, l'une des plus grandes cyberattaques de l'histoire des États-Unis.

Les experts en cybersécurité soulignent l'importance de ne pas sous-estimer la vulnérabilité des informations sensibles stockées dans des systèmes moins critiques tels que la messagerie électronique et le partage de fichiers. En réponse à cette intrusion, Microsoft a annoncé une refonte complète de ses systèmes anciens (legacy), même si cela peut entraîner des perturbations temporaires dans ses opérations. Cette attaque met également en lumière le besoin d'une surveillance continue des journaux cloud pour détecter toute activité anormale, comme l'a souligné Arie Zilberstein, co-fondateur et PDG de Gem Security.

🎣 “Quishing” : une nouvelle forme d'escroquerie en plein essor

Le quishing fait actuellement l'objet d'une campagne de prévention menée par le Bureau de la prévention et de la protection de l'UNCyber de la gendarmerie nationale pour alerter la population sur ce nouveau risque d’arnaque. On vous explique.

💧 Même l’eau peut faire l’objet de cyberattaques

Les agences fédérales américaines, à savoir la CISA, l'EPA et le FBI, ont collaboré pour élaborer un guide de bonnes pratiques en matière de cybersécurité, spécialement destiné au secteur de l'eau et des eaux usées. L'objectif est de renforcer la résilience et d'améliorer la réponse aux incidents dans ce secteur essentiel.

La publication de ce guide intervient en réponse à un appel du Bureau de l'inspecteur général demandant à la CISA de renforcer la cybersécurité du secteur de l'eau et des eaux usées. Les systèmes de distribution d'eau, vulnérables aux cyberattaques en raison de leur statut d’infrastructures critiques, ont été récemment confrontés à des incidents graves.

En février 2021, un pirate informatique serait parvenu à accéder aux systèmes d'une station d'épuration en Floride et à empoisonner l’eau. Plus récemment, en décembre dernier, le groupe d’hacktivistes lié à l’Iran Cyber Av3ngers, s’est introduit dans le système de contrôle industriel de la “Municipal Water Authority of Aliquippa” en Pennsylvanie. Fort heureusement, aucun risque pour l’eau potable et l’approvisionnement en eau n’a été détecté. Mais la menace se rapproche.

🥷 Le rançongiciel Kasseika désactive les protections de sécurité courantes

Un récent rançongiciel nommé “Kasseika”, découvert en décembre 2023, vient de s’ajouter à la liste des groupes de cybercriminels utilisant la tactique sophistiquée BYOVD (Bring Your Own Vulnerable Driver), une technique qui consiste à désactiver l'antivirus de l’ordinateur ciblé, avant de procéder au chiffrement des données.

Comme l’explique TrendMicro dans son rapport, l’attaque commence de façon classique, par l’envoi massif d’emails de phishing à destination des employés d’une entreprise, dans le but d’obtenir leurs informations d'identification. Une fois dans le système, le rançongiciel va alors télécharger “Martini“, un pilote (ou driver) légitime signé par l'éditeur TG Soft, qui dispose de suffisamment de privilèges pour mettre fin à 991 processus différents, dont des antivirus, des outils d’analyses, des outils de sécurités et des utilitaires systèmes. Une fois cette opération effectuée, le rançongiciel va pouvoir se déplacer silencieusement et accomplir son objectif initial : le chiffrement des données et la demande d’une rançon (50 bitcoins soit près de 2 millions de dollars auxquels s’ajoute 500 000 dollars toutes les 24 heures jusqu’au paiement de la rançon).

Mais ce n’est pas tout, au delà de désactiver les protections courantes, “Kasseika” est également capable de détecter les processus en cours d’exécution liés à des outils de sécurité et d'analyse et s’arrête si les plus aptes à l’arrêter sont détectés dans le système. Il est également capable d’effacer ses traces dans les journaux d'événements du système après le chiffrement des données.

L'analyse de TrendMicro sur cette attaque révèle des similitudes avec un autre ransomware appelé BlackMatter, suggérant une possible connexion entre les deux. Étant donné que le code source de BlackMatter n'a jamais été divulgué publiquement depuis sa fermeture fin 2021, Kasseika aurait probablement été créé par d'anciens membres du groupe de menace ou des acteurs expérimentés du rançongiciel ayant acheté son code.

🇬🇧 Le NCSC alerte sur la menace croissante des logiciels malveillants boostés par l'IA

Dans un rapport publié le 24 janvier, le Centre national de cybersécurité du GCHQ met en garde contre la “possibilité réaliste” que l'IA soit utilisée pour créer des logiciels malveillants difficiles à détecter et prédit que les attaquants les plus sophistiqués pourraient améliorer considérablement leurs outils d'ici 2025.

Outre l’ingénierie sociale qui profite déjà d’outils d’IA tels que ChatGPT, Google Bard et Microsoft Copilot pour concevoir des messages toujours plus convaincants et personnalisés, et qui va continuer à se démocratiser auprès d’acteurs moins expérimentés, l’utilisation de l’IA dans des activités malveillantes risque d’occuper un rôle bien plus important dans les prochaines années selon le rapport du NCSC.

Selon l'analyse de la NCA, il semble que les cybercriminels aient déjà amorcé le développement de l'Intelligence Artificielle Générative Criminelle (GenAI). Cependant, le rapport du NCSC souligne clairement que l'efficacité de ces modèles d'IA générative dépendra de la quantité et la qualité des données sur lesquelles ils sont entraînés. Ce qui ne devrait pas poser de problèmes à certains États qui disposent de dépôts de logiciels malveillants suffisamment importants pour entraîner ces modèles.

De plus, l'utilisation avancée de l'IA à des fins criminelles devrait permettre prochainement, aux attaquants, de découvrir les vulnérabilités plus rapidement, réduisant ainsi le temps dont disposent les défenseurs pour appliquer des correctifs de sécurité. Et lorsque les attaquants passent à l’action, l'IA devrait leur permettre d’analyser les données plus efficacement, en temps réel, augmentant ainsi l'efficacité des attaques.

Le rapport conclut que les cyberattaques augmenteront probablement en volume et en impact au cours des deux prochaines années, largement influencées par l'IA. Pour faire face à cette menace accrue et améliorer la résilience du Royaume-Uni, le gouvernement britannique a investi 2,6 milliards de livres dans le cadre de sa stratégie de cybersécurité.

📄 Gouvernance de la cybersécurité, le Royaume-Uni prend les choses en main

Ce 23 janvier, le gouvernement britannique a annoncé la publication du projet de code de pratique sur la gouvernance de la cybersécurité intitulé "Cyber Governance Code of Practice: Call for views".

Fruit d’une collaboration entre directeurs d'entreprises, experts en cybersécurité et en gouvernance et le National Cyber Security Centre (NCSC) du Royaume-Uni, ce “code” vise à donner aux directeurs et aux entreprises de toutes tailles, les clés pour répondre efficacement à tout incident cyber potentiel. Le code examine également l'environnement réglementaire actuel et propose des mesures pour améliorer la cyber résilience au Royaume-Uni.

Le code est présenté sous la forme de cinq principes généraux, chacun étant assorti d'actions :

1. Gestion des risques : Identification et priorisation des processus numériques clés, évaluations régulières des risques en tenant compte des environnements changeants.

2. Stratégie cyber : Surveillance et révision de la stratégie de résilience cyber en accord avec les risques d’entreprise et les obligations réglementaires, et l’allocation appropriée des ressources.

3. Personnes : Promotion d'une culture de sécurité cyber positive, garantie de la cyber alphabétisation et de la sécurité des données à travers des programmes de formation et de sensibilisation.

4. Planification et réponse aux Incidents : Nécessité d'un plan de réponse aux incidents, tests réguliers et processus de révision pour tirer des leçons des incidents.

5. Confiance et supervision : Établissement de structures de gouvernance pour la cyber résilience, suivi régulier et reporting, avec des rôles et responsabilités clairs à tous les niveaux.

🇨🇳 Espionnage - Selon un nouveau rapport de Mandiant, une entreprise américaine de cybersécurité et filiale de Google, la vulnérabilité critique (CVE-2023-34048) de VMware corrigée en octobre dernier, aurait été exploitée depuis fin 2021 par UNC3886, un groupe de cyberespionnage lié à la Chine.

⛲ Fuite de données - Des analystes de SecurityDiscovery.com et Cybernews ont déclaré avoir découvert une fuite de données majeure affectant 26 milliards de données d'applications populaires comme Twitter, LinkedIn ou Deezer. Cette fuite pourrait être la plus grande jamais enregistrée. Cependant, bien que pouvant toujours représenter des risques d'exploitation par des acteurs malveillants, les données découvertes ne sont en réalité qu’une compilation de violations de données antérieures.

🇦🇺 Sanction - Ce mardi 23 janvier, l'Australie a imposé des sanctions contre Aleksandr Ermakov, un Russe, membre présumé du gang de ransomware Russe REvil, impliqué dans le vol de données chez l’assureur santé Medibank en 2022, qui avait impacté les données sensibles de près de 10 millions de clients. Ces sanctions incluent une interdiction de voyage et rendent toute aide à Ermakov, y compris via cryptomonnaies, passible de 10 ans de prison. Il s’agit là de la première utilisation du cadre de sanctions cyber de l'Australie, établi en 2021. Les États-Unis et le Royaume-Uni ont également annoncé des sanctions à l'encontre d'Ermakov dans le cadre d'une annonce coordonnée avec l'Australie.

📢 Révélations - Ce lundi 22 janvier, le fournisseur de prêts immobiliers LoanDepot est revenu sur la cyberattaque par ransomware dont il a été victime le 8 janvier dernier. Dans sa mise à jour, LoadDepot indique avoir déterminé qu'un tiers non autorisé a eu accès aux informations personnelles sensibles d'environ 16,6 millions de personnes dans ses systèmes.

🇰🇵 Menace - Selon une analyse de SentinelLabs publiée le 22 janvier, le groupe APT parrainé par la Corée du Nord, ScarCruft (alias APT37, Inky Squid, RedEyes et Reaper) se préparerait à lancer des attaques ciblées contre des chercheurs en cybersécurité et d'autres membres de la communauté du renseignement sur les menaces.

🗳 Politique - À dix mois des élections américaines et à l’approche des dizaines de scrutins prévus cette année dans divers pays, OpenAI a annoncé vouloir interdire l’utilisation de ses technologies, dont ChatGPT, à des fins politiques. En tant que première mesure, OpenAI vient de bannir le développeur de Dean.Bot, le chatbot officiel du candidat démocrate Dean Phillips, capable d’imiter la voix du candidat et de répondre en direct aux électeurs.

💰 Amende - Ce mardi 23 janvier, la CNIL a annoncé qu’Amazon France Logistique, avait été condamné le 27 décembre dernier, à une amende de 32 millions d’euros “pour avoir mis en place un système de surveillance de l’activité et des performances des salariés excessivement intrusif”.

👮 Anti-cybercriminalité - Créé fin 2023, le nouvel Office anti-cybercriminalité (OFAC) de la France a été présenté à la presse vendredi 19 Janvier. L’OFAC aura pour principal objectifs “d’enquêter sur les cas graves de cyberattaques, d’appuyer et de fournir aux enquêteurs cyber des outils et des actions de formation, de renseigner et d’analyser les remontées cyber pour établir un état de la menace, de détecter les contenus illicites sur internet grâce à Pharos et Thesee”. Pour remplir ses missions, l’OFAC prévoit de doubler ses effectifs d’ici 2027 et ainsi passer de 380 à 720 enquêteurs spécialisés.

🚓 Swatting - Aux États-Unis, le swatting, une technique de cyber harcèlement qui consiste à envoyer une unité d'intervention d'urgence au domicile d'une victime, cible de plus en plus de hauts fonctionnaires et préoccupe. Dernier exemple en date, le 30 décembre dernier, la directrice de la CISA, Jen Easterly, a été la cible d'un swatting à son domicile…

🎉 Mac fête ses 40 ans !

Le 24 janvier 1984 aux États-Unis, Steve Jobs présentait pour la première fois le Macintosh, le premier ordinateur commercialisé en masse à présenter une interface utilisateur graphique et qui popularisera l’utilisation d’une souris.

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️