Des hackers soutenus par le gouvernement russe ont régulièrement espionné les réseaux de plusieurs sous-traitants de la Défense américaine. Leur but ? Acquérir des documents exclusifs et confidentiels relatifs aux programmes de défense et de renseignement des États-Unis.
Des intrusions continues depuis deux ans
Selon le FBI, la National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA), ces campagnes d’espionnage continues ont commencé en janvier 2020. Ces intrusions ont permis aux hackers de voler des informations sensibles auprès des sous-traitants de la Défense américaine.
Les délais de développement et de déploiement des plateformes d’armes américaines font partie des données exfiltrées. Les hackers ont aussi pu mettre la main sur les plans d’infrastructure de communication et de technologie de l’information. Des entreprises de conception de véhicules et d’aéronefs ont aussi été piratées, mettant entre les mains des hackers des données y afférant.
La liste des cibles est longue. Selon les autorités américaine, celle-ci inclut entre autres des sous-traitants dans
- les systèmes de commandement, de contrôle, de communication et de combat
- la surveillance
- le développement d’armes et de missiles
- la conception de véhicules et d’aéronefs
- le développement de logiciels
- l’analyse de données
- la logistique.
Des modes opératoires communs et bien ficelés
Les acteurs de la menace adoptent une tactique commune pour violer les réseaux cibles. Ils utilisent notamment la technique de spear phishing pour voler des informations d’identification. Les hackers mènent aussi des attaques par force brute et appliquent les techniques de pulvérisation de mots de passe.
Ils exploitent également les vulnérabilités connues dans les VPN. Suite à quoi, ils se déplacent latéralement pour établir la persistance et l’exfiltration. Et à chaque fois que les entreprises cibles corrigent les vulnérabilités et les failles de sécurité, les attaquants trouvent de nouveaux modes d’accès
Les experts ont aussi observé l’utilisation routinière de serveurs privés virtuels (VPS) comme proxy crypté. Ils se servent ensuite des informations d’identification légitimes volées pour exfiltrer les emails du système de messagerie de l’entreprise de la victime
Pour vous prémunir de ce genre d’attaque, offrez à votre entreprise ce qui se fait de mieux en matière de prévention des menaces. Trouvez la solution parmi notre top des meilleurs antivirus.
- Partager l'article :