Des hackers russes accèdent à des réseaux d'entreprise par des dispositifs IoT
Selon Microsoft, le groupe de hackers russes Strontium exploite les faiblesses de dispositifs IoT - mots de passe par défaut inchangés, absence de mise à jour et inventaires non maîtrisés - pour mener des attaques contre des entreprises clientes.
En début de semaine, le centre de réponse aux problèmes de sécurité de Microsoft, a annoncé sur son blog que le groupe de hackers Strontium, très lié à des chercheurs en sécurité de l'agence de renseignement militaire russe GRU, est à l'origine d'une attaque ciblant les dispositifs IoT de ses clients, sans mentionner leurs noms. L'attaque, découverte en avril, visait trois appareils IoT spécifiques : un téléphone VoIP, un décodeur vidéo et une imprimante (la firme de Redmond a refusé de spécifier les marques de ces produits). Le groupe de pirate les a utilisés pour accéder aux réseaux des entreprises. Deux des dispositifs ont été compromis, dans un cas, parce que le mot de passe par défaut du fabricant n'avait pas été changé, et dans l'autre, parce que le dernier correctif de sécurité disponible n'avait pas été appliqué.
Les dispositifs compromis servaient de portes dérobées pour accéder aux réseaux sécurisés, ce qui permettait aux pirates d'explorer librement ces réseaux à la recherche d'autres vulnérabilités, d'accéder à d'autres systèmes et d'obtenir de plus en plus d'informations. Les attaquants ont également espionné des groupes d'administration sur des réseaux compromis afin d'obtenir des privilèges d'accès encore plus élevés. Ils ont aussi analysé le trafic local du sous-réseau pour obtenir des données supplémentaires.
1 400 notifications de piratage envoyées par Microsoft
Le groupe de hackers Strontium, également connu sous les noms de Fancy Bear, Pawn Storm, Sofacy et APT28, serait à l'origine d'une multitude d'actions malveillantes dans le cyberespace menées pour le compte du gouvernement russe. On le soupçonne notamment du piratage, en 2016, du Comité national démocrate, l'instance nationale du Parti démocrate américain ; des attaques contre l'Agence mondiale antidopage ; du ciblage de journalistes enquêtant sur le crash du Vol 17 de la Malaysia Airlines abattu en vol le 17 juillet 2014 depuis la région de Donetsk, à l'est de l'Ukraine ; des menaces de mort envoyées en mai 2018 aux femmes de militaires américains en se faisant passer pour Daech, etc.
Selon un acte d'accusation publié en juillet 2018 par le bureau du Conseiller spécial Robert Mueller, les architectes des attaques Strontium appartiennent à un groupe d'officiers militaires russes, tous recherchés par le FBI pour ces crimes. Microsoft a informé ses clients de sa découverte et qu'ils étaient attaqués par des États-nations. Au cours des 12 derniers mois, l'éditeur a envoyé pas moins de 1 400 notifications pour alerter contre les attaques du groupe de pirates. « La plupart de ces notifications - quatre sur cinq - étaient adressées à des entreprises gouvernementales, l'armée, la défense, les secteurs IT, de la santé, de l'éducation et de l'ingénierie. Les autres notifications ont été envoyées à des ONG, des groupes de réflexion et autres « organisations affiliées à des partis politiques », selon Microsoft.
Les victimes connaissent mal leur réseau, ce qui les rend plus vulnérables
Selon l'équipe de Microsoft, le haut niveau de vulnérabilité de ces institutions est essentiellement lié au fait qu'elles ne savent pas du tout quels appareils fonctionnent sur leurs réseaux. Microsoft leur a recommandé, entre autres, de faire un inventaire de tous les périphériques IoT présents dans leur environnement d'entreprise, de mettre en oeuvre des politiques de sécurité personnalisées pour chaque périphérique, de séparer les réseaux des périphériques IoT de leurs propres réseaux quand c'est possible, et de procéder à des audits de configuration et à des campagnes d'application de correctifs réguliers sur les gadgets électroniques.
(Crédit photo : Pixabay/The Digital Artist)
