Le cloud, la nouvelle cible des hackers russes - © Ar_TH / Adobe Stock
Le cloud, la nouvelle cible des hackers russes - © Ar_TH / Adobe Stock

Les pays membres de l'alliance de renseignement Five Eyes (FVEY) signalent que les cyberpirates du groupe APT29, affilié au Service russe de renseignement extérieur (SVR), se tournent vers les plateformes cloud.

Dans un avertissement sans précédent, les agences de cybersécurité des Five Eyes (États-Unis, Royaume-Uni, Australie, Canada et Nouvelle-Zélande) ont tiré la sonnette d'alarme sur les récentes activités des pirates russes, particulièrement du groupe APT29, également connu sous plusieurs alias, dont SVR, Cozy Bear et The Dukes. Ces cybercriminels, connus pour leur sophistication et leur lien avec les services de renseignement russes, concentrent tous leurs efforts sur les infrastructures cloud, une stratégie qui pourrait avoir des conséquences dévastatrices pour les entreprises et les gouvernements du monde entier.

Des antécédents

Les cyberespions russes ont également réussi à infiltrer les comptes Microsoft 365 de diverses entités appartenant aux pays membres de l'OTAN, dans le but d'acquérir des données relatives à la politique étrangère. Leurs cibles incluaient des gouvernements, des ambassades et des hauts fonctionnaires à travers l'Europe, dans le cadre d'une série d'attaques de phishing.

Plus récemment, en janvier, Microsoft a confirmé que le groupe de piratage affilié au Service russe de renseignement extérieur avait compromis les comptes Exchange Online de ses dirigeants ainsi que ceux d'utilisateurs d'autres organisations en novembre 2023. Ils n'en sont donc pas à leur coup d'essai.

L'attaque du cloud

Les agences Five Eyes ont identifié qu'APT29, les pirates russes, exploitaient les environnements cloud de leurs cibles en utilisant des informations d'identification de compte de service d'accès compromises, obtenues lors d'attaques par force brute ou par pulvérisation de mots de passe. Ils tirent parti de comptes dormants non supprimés, laissés après le départ des utilisateurs des organisations ciblées, ce qui facilite leur « réaccès » après la réinitialisation du mot de passe à l'échelle du système.

Les vecteurs initiaux de violation du cloud d'APT29 incluent également l'utilisation de jetons d'accès volés qui leur permettent de pirater des comptes sans utiliser d'informations d'identification, des routeurs résidentiels compromis pour « proxyer » leur activité malveillante, la lassitude du MFA pour contourner l'authentification multifacteur (MFA) et l'enregistrement de leurs propres appareils comme nouveaux appareils sur les locataires cloud des victimes. Le tour est joué.

L'authentification multifacteur, une des clés de protection contre les pirates russes - @ Shutterstock/Thapana_Studio

Des mesures préventives

Les pirates du SVR utilise des outils sophistiqués comme le malware MagicWeb pour échapper à la détection dans les réseaux des gouvernements et organisations critiques en Europe, aux États-Unis et en Asie.

« Pour les organisations qui ont migré vers une infrastructure cloud, la première ligne de défense contre un acteur tel que SVR devrait être de se protéger contre les TTP [Tactiques, Techniques et Procédures, NDLR] de SVR pour l'accès initial », conseillent les Five Eyes.

Pour se protéger contre ces attaques, les défenseurs du réseau devraient par conséquent activer l'authentification multifacteur autant que possible et renforcer les mots de passe ou encore réduire la durée de vie des sessions pour limiter l'utilisation des jetons volés.

Comparatif des meilleurs hébergeurs cloud (2024)
Le Cloud est largement représenté dans le monde de l'hébergement web. Cette solution modulable et performante offre une excellente alternative pour les sites à moyenne volumétrie et accueillant régulièrement des pics de trafics. Le cloud est au centre de la stratégie de nombreux hébergeurs web, comme OVHCloud et IONOS Cloud. Retrouvez notre comparatif des meilleurs services d'hébergement cloud en 2024.