Les pirates d’APT28 tentent de rentrer par force brute dans les réseaux de centaines d’organisations aux États-Unis et en Europe. Leurs outils : un cluster de serveurs Kubernetes, le réseau Tor et des services VPN.
Attention, cachez bien vos secrets, car les pirates de Poutine sont en train de rôder sur la Toile. D’après les autorités américaines et britanniques, le groupe APT28 — une émanation du renseignement militaire russe — est en train de cibler des centaines d’organisations aux États-Unis et en Europe, dans des domaines très variés : défense, logistique, droit, politique, énergie, médias, universités, etc. Les hackers russes utilisent la plateforme d’automatisation Kubernetes pour opérer un gros cluster de serveurs dont le but est de casser les mots de passe de comptes utilisateur par force brute. Quand ils y arrivent, ils prennent pied dans le réseau informatique de l’organisation ciblée et procèdent à l’espionnage. Cette campagne a démarré au moins depuis mi-2019.
Fait marquant : les hackers russes ne s’attaquent pas directement à leurs cibles, mais tentent de brouiller leurs pistes par l’intermédiaire du réseau Tor et d’une myriade de services VPN grand public, dont CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark et WorldVPN. Les autorités américaines et britanniques recommandent donc aux entreprises de filtrer le trafic en provenance de ces services pour parer ces attaques. L’adoption d’une authentification forte est également recommandée.
source : 01net