Des cyberespions russes identifiés dans les attaques de l’APT contre la démocratie britannique

Les autorités britanniques et américaines dénoncent les activités gênantes d’un groupe de menaces persistantes avancées (APT) parrainé par le FSB, une équipe traquée par des sociétés de sécurité comme Star Blizzard, Callisto Group ou Seaborgium. Le groupe cherche activement depuis des années à interférer avec le processus politique au Royaume-Uni et dans d’autres pays, en utilisant des techniques d’attaque et d’évasion complexes que Microsoft Security détaille également en détail.

Le Centre 18, division du FSB vraisemblablement liée au groupe Callisto ATP, est tenu pour responsable d’une série d’opérations de cyberespionnage visant des personnalités de premier plan. Selon le National Cyber ​​Security Centre (NCSC) du Royaume-Uni, le Centre 18 a collaboré avec Callisto/Star Blizzard pendant des années pour cibler les comptes de messagerie Web utilisés par le gouvernement, l’armée et les médias. Les campagnes de spear phishing du groupe ont été actives dès 2019 et se sont poursuivies jusqu’en 2023.

L’activité typique de cyberespionnage de Star Blizzard exploite des ressources open source pour effectuer des reconnaissances sur les plateformes de médias sociaux professionnelles, a expliqué le NCSC. Les agents du FSB effectuent des recherches approfondies sur leurs cibles, identifiant des contacts sociaux ou professionnels réels. Des comptes de messagerie usurpant l’identité de ces contacts sont ensuite créés avec de faux profils de réseaux sociaux ou de réseaux, finalement utilisés pour envoyer un document PDF malveillant hébergé sur des plateformes cloud légitimes.

Le PDF est conçu pour rediriger la cible vers un site de phishing, où le cadre d’attaque open source EvilGinx est utilisé pour voler à la fois les informations d’identification de l’utilisateur et les cookies d’authentification de session. Cela permet aux espions russes de contourner les protections de sécurité avancées, telles que l’authentification à deux facteurs, de se connecter au compte de messagerie de la cible, de voler des données et des documents et d’établir des règles de transmission pour un accès continu aux futures communications de la cible.

Le groupe peut alors exploiter son accès illicite aux comptes de messagerie compromis pour découvrir et identifier d’autres cibles intéressantes. Selon la dernière enquête de Microsoft, le groupe utilise désormais des techniques de plus en plus sophistiquées pour échapper à l’identification, notamment des scripts côté serveur pour empêcher l’analyse automatisée de l’infrastructure contrôlée par les acteurs, l’utilisation de services de plateforme de marketing par courrier électronique pour dissimuler les véritables expéditeurs de courriers électroniques, et les fournisseurs DNS de masquage IP. , et plus.

Star Blizzard et les autres unités de cyberespionnage du FSB ont été impliquées dans plusieurs incidents très médiatisés au fil des années, ont noté les autorités britanniques. Des agents russes ont tenté de pirater des représentants politiques avec des attaques de spear phishing depuis 2015, ont violé des documents électoraux et ont ciblé des universités, des journalistes, des secteurs publics et des organisations non gouvernementales (ONG) jouant un rôle clé dans la démocratie britannique.

Les autorités britanniques et américaines ont désormais révélé l’identité de deux personnes associées aux activités de spear phishing susmentionnées : l’officier du FSB Ruslan Alexandrovitch Peretyatko et « l’informaticien » Andrey Stanislavovich Korinets.

Les deux espions sont probablement responsables des opérations APT de Callisto contre des organisations britanniques, avec des « tentatives infructueuses » ayant entraîné la fuite de certains documents. Peretyatko et Korinets ont été sanctionnés par le Royaume-Uni et les États-Unis, et le programme Rewards for Justice (RFJ) du Département d’État américain offre actuellement une récompense pouvant atteindre 10 millions de dollars pour toute information supplémentaire utile à la localisation de Peretyatko, Korinets ou d’autres membres du parti. Groupe Callisto.