Des hackers russes infiltrent les entreprises via l'imprimante du bureau

Catégorie: L'informatique Posté 05 août Le Grand Palais du Kremlin à Moscou Le Grand Palais du Kremlin à Moscou





Un groupe de pirates informatiques liés à des agences d'espionnage russes utilisent des appareils 'Internet des objets' tels que des téléphones et des imprimantes connectés à Internet pour pénétrer dans les réseaux d'entreprise, a annoncé Microsoft lundi.

Fancy Bear n'hiberne jamais : Les hackers russes, qui s'appellent Strontium, Fancy Bear et APT28, sont liés à l'agence de renseignement militaire GRU.

Le groupe est actif depuis au moins 2007. On lui attribue une longue liste de travaux infâmes, notamment l'intrusion dans le Comité national démocrate en 2016, les attaques paralysantes de NotPetya contre l'Ukraine en 2017 et le ciblage de groupes politiques en Europe et en Amérique du Nord tout au long de 2018. .



Insécurité des choses  : La nouvelle campagne de GRU a compromis les appareils populaires de l'Internet des objets, notamment un téléphone VOIP (voix sur protocole Internet), une imprimante de bureau connectée et un décodeur vidéo afin d'accéder aux réseaux d'entreprise. Microsoft dispose de l'une des meilleures visibilités sur les réseaux d'entreprise au monde, car de nombreuses organisations utilisent des machines Windows. Le Threat Intelligence Center de Microsoft a repéré le nouveau travail de Fancy Bear à partir d'avril 2019.

Le mot de passe est mot de passe : Bien que des choses comme les smartphones et les ordinateurs de bureau soient souvent au premier plan en matière de sécurité, c'est souvent l'imprimante, l'appareil photo ou le décodeur qui laisse une porte ouverte à un pirate informatique.

Dans plusieurs cas, Microsoft a vu Fancy Bear accéder à des réseaux ciblés car les appareils IoT étaient déployés avec des mots de passe par défaut. Dans un autre cas, la dernière mise à jour de sécurité n'a pas été appliquée. En utilisant ces appareils comme point de départ, les pirates ont établi une tête de pont et cherché un accès supplémentaire.



Une fois que l'acteur a réussi à établir un accès au réseau, une simple analyse du réseau pour rechercher d'autres appareils non sécurisés lui a permis de découvrir et de se déplacer sur le réseau à la recherche de comptes à privilèges plus élevés qui donneraient accès à des données de plus grande valeur, a averti Microsoft dans un article de blog publié lundi.

Les pirates se sont déplacés d'un appareil à l'autre, établissant la persistance et cartographiant le réseau au fur et à mesure, communiquant avec les serveurs de commande et de contrôle tout le temps.

Objectifs mondiaux : Microsoft a surveillé de près ce groupe au cours de la dernière année.



Sur les 1 400 notifications envoyées par la société aux personnes ciblées ou compromises par Fancy Bear, 20 % l'ont été à des organisations non gouvernementales mondiales, des groupes de réflexion ou des organisations politiquement affiliées. Les 80% restants ont été dans divers secteurs, notamment le gouvernement, la technologie, l'armée, la médecine, l'éducation et l'ingénierie.

Nous avons également observé et notifié des attaques au STRONTIUM contre des comités d'organisation olympiques, des agences antidopage et l'industrie hôtelière, a averti le blog de Microsoft.

L'année dernière, le FBI a pris action perturbatrice contre une campagne Fancy Bear connue sous le nom de VPNFilter qui ciblait les routeurs et les périphériques de stockage réseau avec des logiciels malveillants avec des capacités destructrices de briquer un appareil en supprimant le micrologiciel et en rendant l'appareil inutilisable. Cette campagne ciblait particulièrement l'Ukraine, cible favorite de Fancy Bear.