En neutralisant sept domaines utilisés comme infrastructure d’attaque, Microsoft a réussi à perturber les cyberattaques contre des cibles ukrainiennes coordonnées par le groupe de piratage russe APT28.
Il y a la guerre cinétique destructrice sur le territoire ukrainien et celle plus silencieuse du cyber qui fait rage. Pour l’effort de guerre, les ténors du numérique se trouvent également en première ligne. C’est notamment le cas de Microsoft. La firme vient de neutraliser sept domaines utilisés comme infrastructure d’attaque contre des cibles ukrainiennes par les hackers russes. Le groupe de pirates en question est le célèbre APT28 autrement connu sous le nom de Fancy Bear ou Strontium. Un groupe de hackers lié à l’unité militaire 26165 du renseignement militaire russe, le GRU.
Pour leurrer ses cibles, ses membres ont l’habitude d’utiliser des noms de domaines renvoyant aux différents services de Microsoft. Dans le cas présent, les pirates emploient ces domaines pour cibler des médias et des institutions gouvernementales ukrainiens. Mais, contrairement au champ de bataille physique localisé sur le territoire ukrainien, les actes de cyberguerre menés par APT28 sont mondiaux. Les domaines servaient aussi à attaquer les institutions gouvernementales américaines et européennes ainsi que tous les organismes qui pouvaient graviter dans la politique étrangère.
Le combat de Microsoft contre APT28
Microsoft n’a pas agi sans avoir préalablement obtenu une autorisation de la part des tribunaux américains. Pour les neutraliser, les sept domaines ont été redirigés vers une « impasse » gérée par Microsoft. Les victimes ont aussi été notifiées. Pour les chercheurs du laboratoire de cybersécurité de Microsoft, les membres du groupe cherchaient à pénétrer les systèmes informatiques de leurs cibles et à s’y implanter durablement pour en exfiltrer les informations sensibles.
Cette guerre du cyber n’a cependant pas débuté avec l’invasion de l’Ukraine par l’armée russe fin février. En août 2018, Microsoft avait déjà déposé une quinzaine de plaintes précisément contre ce groupe de hackers. En tout, 91 domaines avaient alors été neutralisés. Les premières contre-attaques ont même débuté dès 2016, soit deux ans après le début des hostilités dans le Donbass et l’annexion de la Crimée par la Russie. Le groupe de hackers a également tenté de réaliser des cyberattaques afin d’interférer dans les élections de certains pays de l’Union européenne et dans les élections américaines de 2016.
alvinet