Le groupe de piratage lié à la Russie derrière l’infâme Campagne d’espionnage SolarWinds utilise maintenant Google Drive pour livrer furtivement malware à ses dernières victimes.
C’est ce qu’ont déclaré des chercheurs de l’équipe de renseignement sur les menaces de l’Unité 42 de Palo Alto Networks, qui dit mardi que l’unité de piratage du Service de renseignement extérieur russe (SVR) – suivie comme « Ursa masquée » par l’unité 42 mais plus communément connue sous le nom d’APT29 ou Ours confortable — a intégré le service de stockage en nuage de Google dans ses campagnes de piratage pour cacher leurs logiciels malveillants et leurs activités.
APT29 a utilisé cette nouvelle tactique dans de récentes campagnes ciblant les missions diplomatiques et les ambassades étrangères au Portugal et au Brésil entre début mai et juin 2022, selon l’Unité 42.
« C’est une nouvelle tactique pour cet acteur et qui s’avère difficile à détecter en raison de la nature omniprésente de ces services et du fait qu’ils sont approuvés par des millions de clients dans le monde entier », ont déclaré les chercheurs. « Lorsque l’utilisation de services de confiance est combinée au cryptage, comme nous le voyons ici, il devient extrêmement difficile pour les organisations de détecter les activités malveillantes liées à la campagne. »
Bien que ce soit la première fois qu’APT29 utilise Google Drive, ce n’est pas la première fois que le groupe abuse de services Web légitimes. Comme documenté par le géant de la sécurité Mandiant en mai, le groupe s’est constitué en société Dropbox (en anglais) dans le cadre de son infrastructure de commandement et de contrôle dans le cadre d’une campagne ciblant les diplomates et divers organismes gouvernementaux.
L’unité 42 a divulgué l’activité à Dropbox et à Google, qui ont pris des mesures. Google n’a pas immédiatement répondu à une demande de commentaire.
Le groupe d’analyse des menaces (TAG) de Google est également décelé Mardi, des pirates Turla soutenus par la Russie ont ciblé des Ukrainiens via une application prétendument conçue pour mener des attaques par déni de service distribué (DDoS) contre la Russie. L’application, connue sous le nom de CyberAzov, a promis de permettre aux utilisateurs « d’aider à arrêter l’agression russe contre l’Ukraine ». En fait, l’application est la première instance connue de Turla distribuant des logiciels malveillants liés à Android, selon les chercheurs de TAG.
Le service extérieur de l’UE averti cette semaine, les groupes de hackers russes devenaient de plus en plus perturbateurs en Europe depuis le déclenchement de la guerre en Ukraine. « Cette augmentation des cyberactivités malveillantes, dans le contexte de la guerre contre l’Ukraine, crée des risques inacceptables d’effets de débordement, de mauvaise interprétation et d’escalade possible », a-t-il déclaré.