Des agents parrainés par l’État russe ciblent des réseaux de sous-traitants américains pour obtenir des informations sensibles sur la défense, a averti le FBI, certains obtenant un accès persistant pendant au moins six mois.
UN déclaration de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, publiée hier (16 février), détaille comment elle a observé le « ciblage régulier » des sous-traitants de la défense américains (CDC) autorisés de janvier 2020 à février 2022.
Le communiqué conjoint de la CISA, du FBI et de la NSA indique que les grands et petits CDC et les sous-traitants avec différents niveaux de protocoles et de ressources de cybersécurité ont été ciblés.
Ces CDC prennent en charge des contrats pour le département américain de la Défense (DoD) et la communauté du renseignement au sens large dans divers domaines, notamment le développement de logiciels, l’analyse de données, la logistique, la surveillance, la reconnaissance et le ciblage.
Accès autorisé
Sur une période de deux ans, les acteurs russes ont maintenu un accès permanent à plusieurs réseaux CDC, dans certains cas pendant au moins six mois, a déclaré la CISA.
Le FBI, la NSA et la CISA ont constaté des exfiltrations régulières et récurrentes d’e-mails et de données.
« Par exemple, lors d’un compromis en 2021, les acteurs de la menace ont exfiltré des centaines de documents liés aux produits de l’entreprise, aux relations avec d’autres pays, au personnel interne et aux questions juridiques », indique le communiqué.
LIRE LA SUITE Qui est derrière APT29 ? Ce que nous savons de ce groupe cybercriminel d’État-nation
Selon l’agence, les acteurs de la menace ont utilisé des tactiques telles que le harponnage, la collecte d’informations d’identification et les attaques par force brute contre des comptes et des réseaux à faible sécurité.
« Ces acteurs profitent de mots de passe simples, de systèmes non corrigés et d’employés sans méfiance pour obtenir un accès initial avant de se déplacer latéralement à travers le réseau pour établir la persistance et exfiltrer les données », indique le communiqué.
« Les acteurs maintiennent souvent la persistance en utilisant des informations d’identification légitimes et une variété de logiciels malveillants lors de l’exfiltration d’e-mails et de données. »
Cela leur a permis d’accéder à des « informations sensibles et non classifiées », ainsi qu’à une technologie exclusive au CDC et contrôlée à l’exportation.
Cible principale
Certaines des données volées fournissent des informations importantes sur les délais de développement et de déploiement des plates-formes d’armes américaines, les spécifications des véhicules et les plans d’infrastructure de communication et de technologie de l’information, a déclaré la CISA.
« Compte tenu de la sensibilité des informations largement disponibles sur les réseaux CDC non classifiés, le FBI, la NSA et la CISA prévoient que les cyberacteurs parrainés par l’État russe continueront de cibler les CDC pour obtenir des informations sur la défense américaine dans un proche avenir.
« Ces agences encouragent tous les CDC à appliquer les mesures d’atténuation recommandées dans cet avis, quelles que soient les preuves de compromission. »
Les mesures d’atténuation comprennent l’utilisation de l’authentification multifacteur (MFA), l’utilisation de mots de passe forts et uniques et la mise en œuvre d’un programme de gestion des correctifs logiciels pour réduire le nombre de vulnérabilités connues dans le réseau d’un CDC.