Et finalement, il s’agirait d’un groupe de hackers russes, surnommé « Laundry Bear » par les autorités hollandaises, « Void Blizzard » par Microsoft. Le renseignement hollandais, l’AIVD et le MIVD, vient en effet d’attribuer la grave attaque informatique observée en septembre dernier contre la police des Pays-Bas.
L‘intrusion s’était soldée par le vol d’informations sur 65 000 policiers. Un nombre « limité » de magistrats, avocats et agents de probation avaient également été victimes de la fuite de données. Après investigations, selon les experts néerlandais, il s’agissait en fait d’une attaque de type « Pass-The-Cookie », en référence aux fichiers du même nom qui facilitent la navigation.
Dans ce genre d’attaque, un pirate arrive à compromettre un appareil pour en extraire des cookies de navigation créés après l’authentification aux services à distance. Une façon de contourner les contrôles de sécurité une fois en possession du cookie.
Sans doute un infostealer
Le renseignement hollandais estime que le cookie utilisé dans l’attaque contre la police néerlandaise avait probablement été chipé via un infostealer, ces programmes malveillants voleurs de mots de passe. Dans son rapport, le renseignement hollandais qualifie ainsi la cyberattaque « d’opportuniste ».
Car pour les enquêteurs, le groupe de pirates à la manœuvre était d’abord très efficace. « Comparé à d’autres acteurs malveillants russes, Laundry Bear affiche un taux de réussite élevée », avertit le renseignement hollandais. Un groupe, soulignent-ils, dont la vocation est d’espionner.
Cette bonne fortune cyber est vraisemblablement due à une « automatisation efficacement organisée ». Et des techniques « relativement simples » mais « parfois difficiles à détecter ». A savoir la réutilisation de jetons d’authentification ou de cookies acquis sur des plateformes de services cybercriminels.
Longue liste de victimes
Ou encore des attaques de type « pulvérisation de mots de passe », en testant sur un grand nombre de comptes quelques mots de passe courants, comme « password123 », « welcome123 » ou « qwerty ». Autant de sésames bien trop simples dont l’emploi devrait être banni. Ces derniers « fonctionnent plus souvent que prévu », regrette le renseignement néerlandais.
Une fois dans la place, « Laundry Bear » cherche ensuite à compromettre d’autres comptes. Et ceci en exploitant la liste générale d’adresses de la messagerie, pour étendre ses accès, avec des intrusions dans des environnements cloud et de messagerie, « notamment des serveurs Exchange ».
Constat similaire de Microsoft
Résultat: pour les Pays-Bas, les pirates ont vraisemblablement fait de nombreuses autres victimes dans des organisations gouvernementales occidentales ou des entreprises. Par exemple, le groupe de pirates russes avait « très probablement » l’intention d’obtenir des informations sur les livraisons d’armes à l’Ukraine. Et il lorgnait sur des entreprises de la tech.
Microsoft, qui a également publié son propre rapport, fait le même constat. Dans le viseur des pirates russes, on retrouve des administrations, des organisations de la défense, des transports ou des médias, ou encore des organisations non gouvernementales, avertit l’éditeur.
Authentification à multifacteur, surveillance des connexions ou encore audits de sécurité… Comme le rappelle le renseignement hollandais, il est pourtant possible de barrer la route à ces pirates. Aux experts en cybersécurité de jouer. Même si, en témoigne l’exemple des attaques par pulvérisation de mots de passe, certaines organisations ont encore beaucoup de chemin à faire pour muscler leur sécurité.