Les agences de sécurité américaines et britanniques lancent une alerte concernant les hackers russes qui adoptent des tactiques inspirées de groupes de hackers chinois pour infiltrer les organisations occidentales. Ces actions, marquées par des scans permanents à la recherche de vulnérabilités dans des logiciels largement utilisés, signalent un changement dans la stratégie des cybercriminels russes, traditionnellement plus ciblés.
Adoption de tactiques chinoises
Selon les rapports des services de renseignement, notamment ceux de la SVR (Service de renseignement extérieur de la Russie), ces hackers exploitent des méthodes similaires à celles des groupes chinois, qui consistent à infecter massivement des logiciels utilisés par des organisations occidentales. En scannant le web à la recherche de logiciels présentant des failles, ils parviennent à s’introduire dans les réseaux des entreprises ciblées.
Les cyberagents américains et britanniques ont mis en garde cette semaine concernant des attaques à grande échelle, notamment contre les serveurs Team City et Zimbra, un logiciel utilisé pour la messagerie professionnelle et la collaboration.
Vulnérabilités exploitées
En utilisant une technique consistant à envoyer des e-mails spécialement conçus vers les serveurs Zimbra, les hackers ont réussi à installer des portes dérobées. Ce logiciel est déployé dans plus de 200 000 organisations à travers le monde, et le Centre national de cybersécurité des Pays-Bas (NCSC) a également signalé un « abus actif » des vulnérabilités dans Zimbra.
Changement de stratégie
Cette nouvelle approche est particulièrement frappante, car les hackers de la SVR, également connus sous le nom d’APT29, se distinguaient auparavant par leurs attaques ciblées. Contrairement aux hackers militaires russes (APT28), ils choisissaient leurs cibles avec soin et prenaient soin d’opérer dans l’ombre pour maintenir un accès prolongé.
Cette évolution vers une méthode plus opportuniste suggère qu’ils scannent de manière continue certaines entreprises et secteurs pour détecter des failles récemment révélées. Les cibles incluent des entreprises d’hébergement, des sociétés informatiques et des organisations du secteur de l’énergie. Un expert en cybersécurité néerlandais a confirmé que plusieurs tactiques et vulnérabilités se manifestent clairement dans le paysage actuel.
Réponse des agences de sécurité
Les experts soulignent que cette méthode de scan continu permet aux hackers russes de réagir rapidement dès qu’une opportunité se présente. Les dispositifs d’accès, qu’ils soient matériels ou logiciels, qui connectent les réseaux à Internet, souffrent souvent de vulnérabilités exploitées par des acteurs malveillants.
Les agences de sécurité américaines et britanniques alertent également sur l’exploitation active par la Russie des failles dans le protocole Bluetooth, ciblant les utilisateurs de Windows et Android. Cette technique permet aux services de sécurité russes d’intercepter les communications lorsqu’ils se trouvent à proximité de leurs cibles.
Conséquences pour la sécurité
En fin août, le Premier ministre néerlandais a interdit l’utilisation des smartphones et d’autres appareils intelligents lors des réunions gouvernementales, les ministres devant les placer dans des coffres à l’entrée du Catshuis. Bien que la relation entre cette décision et les découvertes des agences de renseignement américaines et britanniques concernant les abus Bluetooth d’APT29 ne soit pas confirmée, plusieurs experts estiment qu’une telle spéculation n’est pas infondée, surtout en considérant la présence de hackers russes aux Pays-Bas.