Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité, a reconnu qu ‘ »il n’y a actuellement aucune menace crédible spécifique contre les États-Unis », cependant, a-t-elle poursuivi, « Nous travaillons avec le secteur privé, partageons et partageons des informations spécifiques, et demandent des actions pour réduire les risques de cybersécurité de leur organisation et en donnant des conseils très précis sur la façon de le faire. Ces mots ont été prononcés le 2 février, lors d’un point de presse. Neuberger a évoqué la présence continue de cybermenaces russes en Ukraine et au-delà. Neuberger a été clair : « Nous prévenons depuis des semaines et des mois, tant en privé qu’en public, que les cyberattaques pourraient faire partie des efforts de grande envergure de la Russie pour déstabiliser et envahir l’Ukraine. Les Russes ont utilisé le cyberespace comme un élément clé du pouvoir. projection sur la dernière décennie, y compris auparavant en Ukraine, à l’horizon 2015.

À peu près au même moment, des analystes des menaces de l’unité 42 des réseaux de Palo Alto ont publié des informations sur la détection d’attaques par « Gamaredon » (également connu sous le nom d’Armageddon, Primitive Bear, Shuckworm et Actinium) sur une entité gouvernementale occidentale (non encore identifiée) en Ukraine. Soit dit en passant : Gamaredon a été identifié en novembre 2021 par le Service de sécurité ukrainien (SSU) dirigé par cinq responsables russes du Service fédéral de sécurité (FSB) travaillant sous les auspices du Centre de sécurité de l’information FSB depuis des bureaux situés en Crimée occupée par la Russie.

Vérifiez également :

En novembre, le SSU a mis en évidence 5 000 attaques de Gamaredon pour :

• Contrôle des infrastructures critiques (centrales électriques, systèmes de chauffage et d’eau).

• L’acquisition de données, y compris le vol et la collecte de renseignements, y compris l’accès restreint aux informations (liées au secteur de la sécurité et de la défense et aux agences gouvernementales).

• Gagner un impact médiatique et psychologique.

• Systèmes d’information sur les retenues à la source.

Le rapport technique du SSU sur les attaques de Gamaredon détaille la composition du groupe ainsi que son cheminement de l’obscurité à une menace réelle pour l’infrastructure nationale et une menace crédible dans les activités d’attaque de cyber-renseignement.

Le rapport de l’unité 42 met en évidence les efforts du groupe Gamaredon pour tirer parti des besoins individuels exceptionnels de l’Ukraine par l’unité gouvernementale occidentale. Le groupe a envoyé le CV du candidat au format Word. Jamaridon fait le pari que le CV mis en ligne par le « candidat » ne sera pas soumis aux mêmes contrôles que les emails de phishing reçus par les groupes. Le rapport fait également référence au rapport de l’équipe estonienne du CERT du 27 janvier 2021 sur Gamaredon, qui indiquait qu’à partir de 2020, le groupe Gamaredon avait ciblé les pays de l’Union européenne en utilisant des techniques de harponnage (il s’agit d’une méthode de cyberattaque utilisée par les pirates pour voler des informations confidentielles ou installer des logiciels malveillants sur les appareils de victimes spécifiques).

Pendant ce temps, l’équipe Threat Hunter de Symantec a publié sa propre étude le 31 janvier 2022, déclarant que Shuckworm se spécialise dans le « cyberespionnage », ce qui est conforme à la découverte de SSU en novembre 2021. Le rapport de l’équipe Threat Hunter comprend une étude de cas intéressante de la série attaque Gamaredon qui a commencé avec un document malveillant. La période de l’étude de cas couvre la période du 14 juillet au 18 août 2021.

Bientôt, le 4 février, le Microsoft Threat Intelligence Center et la Digital Security Unit ont partagé des informations sur la menace posée par le groupe ACTINIUM, qui cible l’Ukraine depuis dix ans. Le rapport souligne que la cible de ce groupe est le gouvernement, l’armée, les organisations non gouvernementales, le pouvoir judiciaire, les forces de l’ordre et les organisations à but non lucratif. Les conclusions de Microsoft reflètent celles d’autres analystes selon lesquelles les efforts du groupe se concentrent sur la sollicitation d’informations privilégiées et la mise en place d’un accès durable.

Neuberger a conclu que les États-Unis travaillaient avec l’Union européenne et l’OTAN pour « accroître la résilience nationale et alliée dans le cyberespace ». Elle a souligné que les efforts des États-Unis visent à fournir des plans d’urgence dans le cyberespace pour « coordonner et soutenir l’Ukraine et l’autre en cas de tels incidents… Nous travaillons avec le secteur privé en partageant et en échangeant des informations spécifiques et demandons qu’ils agissent pour réduire risques de cybersécurité. » pour leur organisation et en donnant des conseils très précis sur la façon de le faire.

À la lumière de ce qui précède, et avec la montée des tensions en Ukraine, le 9 février, les autorités de cybersécurité aux États-Unis, en Australie et au Royaume-Uni ont publié une recommandation conjointe sur la menace mondiale croissante des ransomwares (Alert (AA22-040A)). L’avertissement met en évidence l’augmentation observée des incidents de ransomware dans 14 des 16 secteurs d’infrastructures critiques aux États-Unis.

David Klein, Cyber ​​​​Evangelist de Cymulate, a commenté: « CISO devrait tenir compte de cette alerte de diverses cybercommandes car il reconnaît que l’activité offensive et destructrice des États-Unis contre les criminels ransomware a amené certaines organisations criminelles à détourner l’attention des objectifs du « jeu » Et ils sont passés à des cibles de taille moyenne plus faciles. Dans le climat actuel, la taille n’est clairement pas spécifique pour être une cible.

A propos de l’auteur

Christopher Burgess a travaillé avec la Central Intelligence Agency (CIA) pendant plus de 30 ans. Co-auteur de Stolen Secrets, Lost Fortune, Preventing Intellectual Property Theft and Economic Espionage in the Twenty-first Century.

Source : OSC