Microsoft a révélé jeudi avoir obtenu une ordonnance du tribunal pour prendre le contrôle de sept domaines utilisés par APT28, un groupe parrainé par l’État et exploité par le service de renseignement militaire russe, dans le but de neutraliser ses attaques contre l’Ukraine.
« Nous avons depuis redirigé ces domaines vers un gouffre contrôlé par Microsoft, ce qui nous permet d’atténuer l’utilisation actuelle de ces domaines par Strontium et d’activer les notifications aux victimes », a déclaré Tom Burt, vice-président de Microsoft chargé de la sécurité et de la confiance des clients. mentionné.
APT28, également connu sous les noms de Sofacy, Sednit, Pawn Storm, Fancy Bear, Iron Twilight et Strontium, est un groupe de cyberespionnage et une menace persistante avancée connue pour être active depuis 2009, frappant les médias, les gouvernements, les militaires et les organisations non gouvernementales (ONG) internationales qui se concentrent souvent sur la sécurité.
Le géant de la technologie a noté que l’infrastructure engloutie était utilisée par l’acteur menaçant pour cibler les institutions ukrainiennes ainsi que les gouvernements et les groupes de réflexion aux États-Unis et dans l’Union européenne afin de maintenir un accès persistant à long terme et d’exfiltrer des informations sensibles.
La saisie fait partie d’un investissement à long terme pour démanteler systématiquement l’acteur menaçant, a déclaré Microsoft, ajoutant qu’il avait utilisé le cadre juridique accéléré mis en place 15 fois pour supprimer plus de 100 domaines contrôlés par Strontium.
Meta prend des mesures contre Ghostwriter et Phosphorus
La divulgation de Microsoft intervient alors que Meta, la société anciennement connue sous le nom de Facebook, a révélé qu’elle avait pris des mesures contre les réseaux antagonistes secrets provenant d’Azerbaïdjan et d’Iran sur sa plate-forme, en supprimant les comptes et en bloquant le partage de leurs domaines.
Le Opération azerbaïdjanaise est soupçonné d’avoir pointé du doigt des militants pour la démocratie, des groupes d’opposition et des journalistes du pays et des détracteurs du gouvernement à l’étranger pour avoir mené des activités de phishing et d’espionnage d’identifiants.
Un autre impliquait UNC788 (alias Charming Kitten, TA453 ou Phosphorus), une équipe de piratage liée au gouvernement qui a l’habitude de mener des opérations de surveillance à l’appui des priorités stratégiques iraniennes.
« Ce groupe a utilisé une combinaison de faux comptes peu sophistiqués et de personnages fictifs plus élaborés, qu’ils ont probablement utilisés pour établir la confiance avec des cibles potentielles et les inciter à cliquer sur des liens de phishing ou à télécharger des applications malveillantes », a expliqué Meta dans son premier rapport trimestriel. Rapport sur les menaces contradictoires.
Les applications Android malveillantes, surnommées HilalRAT, se sont fait passer pour des applications coraniques apparemment inoffensives pour extraire des informations sensibles, telles que la liste de contacts, les messages texte, les fichiers, les informations de localisation, ainsi que pour activer la caméra et le microphone.
Meta a également déclaré avoir bloqué les activités malveillantes associées à un groupe de piratage iranien non signalé qui a utilisé des tactiques similaires à celle de Tortoiseshell pour cibler ou usurper des entreprises des secteurs de l’énergie, de l’informatique, de la logistique maritime, des semi-conducteurs et des télécommunications.
Cette campagne comportait un ensemble élaboré de faux profils sur Instagram, LinkedIn, Facebook et Twitter, les acteurs se faisant passer pour des recruteurs de sociétés réelles et écrans pour inciter les utilisateurs à cliquer sur des liens de phishing pour fournir des informations volant des logiciels malveillants déguisés en VPN, calculateur , livres audio et applications de messagerie.
« Ils ont développé des logiciels malveillants sur la plate-forme de virtualisation VMWare ThinApp, ce qui leur a permis de l’exécuter sur de nombreux systèmes différents et de retenir la charge utile malveillante jusqu’à la dernière minute, ce qui rend la détection des logiciels malveillants plus difficile », a expliqué Meta.
Enfin, également perturbées par Meta, les tentatives de prise de contrôle du groupe Ghostwriter aligné sur la Biélorussie pour s’introduire dans les comptes Facebook de dizaines de militaires ukrainiens.
Les attaques, qui ont réussi dans « une poignée de cas », ont abusé de l’accès aux comptes des victimes sur les réseaux sociaux et publié de la désinformation « appelant l’armée à se rendre comme si ces messages provenaient des propriétaires légitimes des comptes ».