Au cours de l’année écoulée, Strontium, acteur de la menace lié à la Russie, a ciblé des centaines d’organisations aux États-Unis et au Royaume-Uni pour récolter les informations d’identification de compte, révèle Microsoft.

Également appelé APT 28, Fancy Bear, Pawn Storm, Sednit et Tsar Team, le Strontium serait une unité militaire du 85e principal centre de services spéciaux de l’état-major russe (GRU).

Jeudi, Microsoft a publié des informations sur une campagne Strontium récemment identifiée, axée sur la collecte d’informations d’identification Office365 pour des dizaines de milliers de comptes d’organisations aux États-Unis et au Royaume-Uni, dont beaucoup sont directement impliquées dans les élections politiques.

Les attaques semblent avoir commencé en septembre 2019 et ont frappé plus de 200 organisations en juin 2020. Entre le 18 août et le 3 septembre, les mêmes attaques ont été observées visant 6912 comptes dans 28 organisations.

«Aucun de ces comptes n’a été compromis avec succès», déclare Microsoft, soulignant que toutes les entités ciblées n’étaient pas liées aux élections.

Les efforts antérieurs de collecte d’informations d’identification de Strontium reposaient sur le harponnage, comme les attaques qui ont mené à l’élection présidentielle américaine de 2016, mais la nouvelle campagne a utilisé à la place des outils de force brute / pulvérisation de mots de passe. Le changement de tactique a également été observé pour d’autres acteurs des États-nations, car il rend les attaques plus difficiles à attribuer.

Strontium utilise des outils pour acheminer les tentatives d’authentification via environ 1100 adresses IP, dont la plupart sont associées au service d’anonymisation Tor. Le pool d’adresses IP, cependant, est en constante évolution, avec environ 20 IP ajoutées / supprimées chaque jour.

«L’outillage de STRONTIUM alterne ses tentatives d’authentification parmi ce pool d’adresses IP environ une fois par seconde. Compte tenu de l’ampleur et de la rapidité de cette technique, il semble probable que STRONTIUM a adapté ses outils pour utiliser un service d’anonymisation pour masquer …

Voir la source de cette publication