C’est une nouvelle mise en garde du géant de Redmond. Les spécialistes en renseignement sur les cybermenaces de Microsoft s’inquiètent dans un nouveau rapport d’un sous-groupe de Seashell Blizzard considéré comme son fer de lance. Une entité globalement rattachée au GRU russe, l’un des services de renseignement de Moscou, également connue sous le sobriquet de Sandworm.
Sa spécialité? Tenter des compromissions d’infrastructures réseau, autant d’accès qui peuvent ensuite permettre aux pirates de s’infiltrer dans “des cibles de grande valeur”. Selon Microsoft, “BadPilot”, actif depuis au moins 2021, a ainsi permis à Seashell Blizzard d’entrer dans les réseaux de cibles mondiales des secteurs de l’énergie, du pétrole, du gaz, des télécommunications ou encore dans l’armement.
Attaques alignées sur les intérêts russes
La France fait partie des pays visés, sans que des organisations ne soient spécifiquement identifiées. Autant de cibles qui collent avec les objectifs russes, note Microsoft. Comme par exemple avec ces trois cyberattaques destructrices menées en Ukraine en 2023. Pour rappel, l’éditeur relie aussi Seashell Blizzard à la destructrice attaque de NotPetya de 2017, l’un des cauchemars des spécialistes en cybersécurité.
“Les intrusions réseau de Seashell Blizzard s’appuient sur divers savoir-faire et emploient généralement une gamme d’outils courants accessibles au public, notamment Cobalt Strike et DarkCrystalRAT, rappelle de manière générale Microsoft. Les intrusions réseau liées à l’acteur malveillant ont affecté plusieurs niveaux d’infrastructure, mettant en évidence les capacités de Seashell Blizzard à cibler les utilisateurs finaux, les périmètres réseau et les systèmes verticaux spécifiques en exploitant à la fois des exploits et des méthodes accessibles au public et personnalisés.”
Spray and pray
Pour gagner de nouveaux accès, Seashell Blizzard s’appuierait donc d’abord sur BadPilot. Un groupe d’abord opportuniste, relève Microsoft, avec une approche de “type spray and pray”. Il s’agirait ainsi, en multipliant les prises, “d’augmenter la probabilité d’obtenir l’accès à des cibles d’intérêt avec un effort personnalisé limité”, en exploitant par exemple des vulnérabilités critiques déjà dévoilées dans des logiciels critiques .
L’éditeur américain a catégorisé trois modèles d’exploitation d’une faille distincts. Tout d’abord le déploiement d’une suite de gestion et de surveillance à distance, un logiciel de type RMM, une façon de montrer patte blanche. Ensuite le déploiement d’un webshell, cette interface web permettant à un tiers d’exécuter à distance du code malveillant sur une machine, pour se maintenir sur un réseau.
Et enfin une modification de l’infrastructure, comme des pages de connexion Outlook Web Access, pour identifier de nouveaux accès. Pour éviter d’être la prochaine cible de “BadPilot”, Microsoft conseille notamment d’avoir un système de gestion des vulnérabilités et d’empêcher des accès indésirables avec l’authentification à plusieurs facteurs.