Un groupe de pirates informatiques liés à des agences d’espionnage russes utilisent des appareils du monde de « L’Internet des objets » comme des téléphones et des imprimantes connectés à Internet pour pénétrer dans les réseaux d’entreprise, a annoncé Microsoft lundi dernier.
Fancy Bear n’hiberne jamais : Les pirates russes, qui portent des noms comme Strontium, Fancy Bear et APT28, sont liés à l’agence de renseignement militaire GRU.
Le groupe est actif depuis au moins 2007. Ils sont crédités d’une longue liste de travaux tristement célèbres, dont l’intrusion dans le Comité national démocrate en 2016, les attaques paralysantes de NotPetya contre l’Ukraine en 2017 et le ciblage de groupes politiques en Europe et en Amérique du Nord en 2018.
L’insécurité des choses ou l’iIoT : La nouvelle campagne de GRU a compromis la popularité des appareils Internet, y compris un téléphone VOIP, une imprimante de bureau connectée et un décodeur vidéo afin d’accéder aux réseaux d’entreprise. Microsoft a l’une des meilleures visibilités sur les réseaux d’entreprise au monde, car de nombreuses organisations utilisent des machines Windows. Le Threat Intelligence Center de Microsoft a repéré le nouveau travail de Fancy Bear à partir d’avril 2019.
Le mot de passe est le mot de passe : Bien que les smartphones et les ordinateurs de bureau soient souvent la priorité en matière de sécurité, c’est souvent l’imprimante, l’appareil photo ou le décodeur qui laisse une porte ouverte à un pirate informatique.
Dans de nombreux cas, Microsoft a vu Fancy Bear accéder à des réseaux ciblés parce que les périphériques IoT étaient déployés avec des mots de passe par défaut. Dans un autre cas, la dernière mise à jour de sécurité n’a pas été appliquée. Utilisant ces dispositifs comme point de départ, les pirates ont établi une tête de pont et cherché d’autres accès.
« Une fois que l’acteur a réussi à établir l’accès au réseau, un simple scan du réseau à la recherche d’autres dispositifs non sécurisés leur a permis de découvrir et de se déplacer sur le réseau à la recherche de comptes plus privilégiés qui donneraient accès à des données de plus grande valeur », a averti Microsoft dans un article publié lundi sur le blog.
Les pirates se sont déplacés d’un appareil à l’autre, établissant la persistance et cartographiant le réseau au fur et à mesure, communiquant avec les serveurs de commande et de contrôle tout le temps.
Sur les 1 400 notifications que l’entreprise a envoyées aux personnes ciblées ou compromises par Fancy Bear, 20 % l’ont été à des organisations non gouvernementales mondiales, des groupes de réflexion ou des organisations politiquement affiliées. Les 80 % restants sont allés à divers secteurs, dont le gouvernement, la technologie, l’armée, la médecine, l’éducation et le génie.
« Nous avons également observé et notifié des attaques fortes contre les comités organisateurs des Jeux Olympiques, les agences antidopage et l’industrie hôtelière « , prévient le blog de Microsoft.
L’année dernière, le FBI a pris des mesures perturbatrices contre une campagne Fancy Bear connue sous le nom de « VPNFilter » qui visait les routeurs et les périphériques de stockage réseau avec des logiciels malveillants ayant la capacité de « briquer » un appareil en supprimant le firmware et en rendant l’appareil inutilisable. Cette campagne ciblait particulièrement l’Ukraine, une cible favorite de Fancy Bear.
