Gérer les risques
Aujourd'hui et demain

Cyberprévention

Trellix dévoile une campagne d’espionnage visant des hauts fonctionnaires d’Asie occidentale

Même les États ne sont pas à l'abri des cyberattaques. Ainsi de hauts responsables de la sécurité nationale d’un pays en Asie occidentale ont-ils été la cible d’une opération de cyber espionnage, possiblement russe. Révélée par Trellix, celle-ci exploite une faille dans Microsoft OneDrive en tant que serveur de commande et de contrôle.

La tension monte en Asie occidentale : des chercheurs en cybersécurité de Trellix ont mis à jour une campagne d’espionnage en plusieurs étapes ciblant des hauts fonctionnaires qui supervisent la politique de sécurité nationale. Cette agression visait également des individus de l’industrie de la Défense en Asie occidentale. À l’origine de cette offensive, la société de sécurité soupçonne le groupe de hackers russe Fancy Bear. Une situation inquiétante durant la campagne présidentielle en France sur fond de tensions entre la Russie et l’Ukraine.

trellix-soupconne-le-groupe-de-hackers-russes-fancy-bears

Trellix soupçonne le groupe de pirates russes Fancy Bear d’être à l’origine de cette opération d’espionnage. © Chris Yang / Unsplash

Une technique inédite

L’attaque est exceptionnelle. Surtout, elle a utilisé une technique que les chercheurs de Trellix n’avaient jusqu’ici jamais vue. En effet, l’attaque « a été divisée en plusieurs étapes pour rester aussi cachée que possible », indique l’entreprise qui est née de la fusion entre les sociétés de sécurité McAfee Enterprise et FireEye. Précision : l’attaque exploite Microsoft OneDrive en tant que serveur de commande et de contrôle (C2).

Un hacker très qualifié 

« Nous sommes extrêmement confiants dans le fait d’avoir affaire à un acteur très qualifié d’après la façon dont l’infrastructure, le codage des logiciels malveillants et le fonctionnement ont été mis en place », estime Marc Elias, chercheur en sécurité chez Trellix. Si les pays ciblés par l’attaque en Asie occidentale n’ont pas été dévoilés, Trellix indique que cette opération aurait débuté le 18 juin 2021, avec deux victimes signalées les 21 et 29 septembre, suivies de 17 autres en une courte période de trois jours entre le 6 et le 8 octobre.

Une opération russe ? 

Par ailleurs, Trellix soupçonne avec « un niveau de confiance modéré » une opération du russe du groupe de pirates APT28. Appelé également Fancy Bear, Sofacy Group, Pawn Storm ou Advanced Persistent Threat 28 (APT28), ce groupe de délinquants est supposé actif depuis 2004. Il est surtout probablement lié aux renseignements militaires russes sans pour autant qu’une preuve irréfutable n’ait à ce jour été établie. 

Ségolène Kahn

Commentez

Participez à la discussion