Depuis le 22 octobre, Microsoft a identifié une campagne de phishing menée par le groupe de menace russe Midnight Blizzard. Elle cible des milliers d'utilisateurs de plus de 100 organisations américaines, principalement des agences gouvernementales, des établissements universitaires et des ONG.
Le prochain James Bond n'est pas encore sorti, mais il pourrait bien s'inspirer de cette nouvelle hache de guerre déterrée entre les États-Unis et la Russie comme scénario. Car il s'agit bien d'espionnage, auquel se livre la Russie avec une campagne de spearphishing, de son plus grand rival géopolitique, les États-Unis. Et ce n'est ni plus ni moins que Microsoft qui l'affirme.
Selon ses dernières observations, le groupe de pirates informatiques russe Midnight Blizzard a lancé une nouvelle offensive de phishing, avec pour cible de nombreuses organisations clés de dizaines de pays, mais plus précisément les États-Unis et l'Europe.
Des milliers de cibles visées dans plus de 100 organisations
Il faut dire qu'entre Midnight Blizzard et Microsoft, ce n'est pas une bromance. Le premier avait piraté le second en janvier dernier. D'après l'analyse de Microsoft, la campagne de phishing de Midnight Blizzard a été menée à grande échelle, avec des e-mails envoyés à des milliers d'utilisateurs à travers plus d'une centaine d'organisations. Une bonne grosse campagne de spearphishing comme on en a déjà vu par le passé, qui consiste à rassembler un maximum de données personnelles d'un individu avant de les lui envoyer par e-mail, pour l'effrayer et le piéger.
Les principaux secteurs touchés sont les agences gouvernementales, les établissements universitaires, les entités de défense et les ONG, principalement situés au Royaume-Uni, en Europe, en Australie et au Japon. Ce ciblage colle plutôt bien aux techniques des précédentes attaques du célèbre groupe russe lié aux services de renseignements extérieurs de Moscou (SVR), Midnight Blizzard.
L'objectif de ces pirates serait de collecter des informations sensibles au profit des intérêts étrangers de la Russie. En creux du cyberespionnage en bonne et due forme.
Des fichiers RDP malveillants pour compromettre les systèmes
Après le contenu, voyons le contenant. La méthode d'attaque utilisée par Midnight Blizzard consiste en l'envoi de fichiers de configuration RDP (Remote Desktop Protocol) malveillants aux cibles. Une fois ouverts, ces fichiers établissent une connexion à distance avec un serveur contrôlé par les hackers, qui peuvent alors accéder à de nombreuses informations confidentielles sur les appareils et les réseaux des organisations visées.
C'est donc open bar pour les prédateurs, qui ont le choix entre les fichiers, les dossiers, les périphériques connectés, les informations d'authentification et même le contenu du presse-papiers de leurs victimes. Ils vont ensuite installer des logiciels malveillants et maintenir un accès persistant aux systèmes compromis.
Mais Microsoft veille au grain et a mis en place des détections et des mesures d'atténuation pour bloquer ce type d'attaque. Elles peuvent sembler banales et pas plus techniques que pour un utilisateur lambda, mais elles ont le mérite de constituer un premier bouclier de défense.
Le géant de Redmond recommande de renforcer la configuration de sécurité des terminaux avec Microsoft Defender pour Endpoint, la version de protection des terminaux d'entreprises. Pour bloquer les e-mails malveillants, l'activation des protections avancées dans Microsoft Defender pour Office 365 est conseillée, tout comme la mise en place d'un système de MFA bien robuste, ou encore la formation du personnel à l'identification et au signalement des cyberattaques.
Source : Microsoft
