Espionnage Cybernétique : Les Opérations de l'APT29 et les Recommandations de Sécurité

Selon un avis conjoint publié le 10 octobre par des agences gouvernementales des États-Unis et du Royaume-Uni, le groupe de hackers APT29, associé au Service de Renseignement Extérieur de la Russie (SVR), mène depuis des années une campagne d'espionnage cybernétique ciblant des entités américaines, européennes et mondiales. Cette campagne, qui remonte au moins à 2021, a contribué aux efforts de la Russie dans l'invasion de l'Ukraine depuis février 2022. Les organisations ciblées incluent des entités gouvernementales, diplomatiques, technologiques, des think tanks, des organisations internationales et des sous-traitants de la défense principalement basés en Amérique du Nord et en Europe de l'Ouest, ainsi que certaines organisations en Asie, Afrique, pays voisins de la Russie et Amérique du Sud.

L'objectif principal de cette campagne à grande échelle est de collecter des renseignements étrangers et des données techniques, et d'établir des accès pour permettre des compromissions ultérieures de la chaîne d'approvisionnement. Les tactiques de l'APT29 incluent l'exploitation de vulnérabilités non corrigées dans des systèmes exposés à Internet, l'hameçonnage ciblé, le "password spraying", l'abus de la chaîne d'approvisionnement et des relations de confiance, ainsi que l'utilisation de logiciels malveillants personnalisés. Le groupe utilise souvent le réseau TOR et des infrastructures louées ou compromises pour masquer ses activités.

Pour atténuer la menace de l'espionnage cybernétique du SVR, les agences du Royaume-Uni et des États-Unis recommandent de déployer rapidement des correctifs et des mises à jour logicielles, d'activer les mises à jour automatiques, de désactiver les services accessibles sur Internet non nécessaires, et de restreindre l'accès aux réseaux de confiance. Elles conseillent également d'isoler les services exposés à Internet dans une zone démilitarisée (DMZ), d'appliquer l'authentification multifactorielle (MFA), et de surveiller les comptes et applications basés sur le cloud pour détecter toute activité inhabituelle.

Les signataires de cet avis conjoint incluent le FBI, la NSA, la Cyber National Mission Force (CNMF) aux États-Unis et le National Cyber Security Centre (NCSC) du Royaume-Uni.

Source : Infosecurity Magazine.