> Sécurité > Cyber espionnage – Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Cyber espionnage – Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Sécurité - Par Sabine Terrey - Publié le 25 juillet 2022
email

Beaucoup d’entreprises utilisent des services de stockage, comme DropBox et Google Drive quotidiennement. Découvrons comment des acteurs malveillants redoublent d’ingéniosité et exploitent la situation au profit d’attaques difficiles à détecter

Cyber espionnage – Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Les dernières recherches, de l’Unit 42 (cabinet de conseil, unité de recherches et d’analyses sur les menaces cyber de Palo Alto Networks) le dévoilent.

Des capacités à s’immiscer dans des services de stockage sur le cloud

Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 suit sous le nom de Cloaked Ursa (ou APT29, Nobelium ou Cozy Bear) montrent un niveau de sophistication inédit et des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.

Selon l’Unit 42, deux campagnes récentes exploitaient les services de stockage Google Drive. La réplication des données opérée sur le cloud Google Drive rend les opérations de ce malware inquiétantes. Avec l’utilisation de services fiables associée au chiffrement, il est difficile de détecter les activités malveillantes en lien avec la campagne.

La menace Cloaked Ursa

Pour le secteur de la cybersécurité, la menace Cloaked Ursa est affiliée au gouvernement russe. Ce lien expliquerait la mission historique du groupe (campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique).

Autres faits : piratage du Comité national démocrate (DNC) des États-Unis, en 2016, et cyberattaque SolarWinds de 2020.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Des ambassades prises pour cibles

Les États-Unis et le Royaume-Uni ont pointé le Service des renseignements extérieurs de la Fédération de Russie (SVR) soit les activités d’espionnage.

L’Unit 42 pense que les dernières campagnes ciblaient des missions diplomatiques occidentales entre mai et juin 2022. Les leurres suggèrent qu’une ambassade étrangère au Portugal, et une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.

La première visualisation de ces techniques, les actions entreprises et les IoC en lien avec ce rapport se trouvent dans le guide ATOM de Unit 42 sur la détection et la neutralisation des menaces. Palo Alto Networks a révélé ces activités à Google et DropBox, qui ont pris des mesures pour les bloquer.

 

 

 

Sécurité - Par Sabine Terrey - Publié le 25 juillet 2022

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT