Microsoft annonce avoir détecté au cours des dernières semaines des cyberattaques visant des personnes et des organisations impliquées dans la prochaine élection présidentielle aux États-Unis. Parmi ces cyberattaques, certaines ont pris pour cible du personnel associé aux campagnes du président Donald Trump et du candidat démocrate Joe Biden.
" Comme cela avait été prévu, des groupes étrangers ont intensifié leurs efforts en vue des élections de 2020 ", écrit Microsoft qui cite les noms de Strontium, Zirconium et Phosphorus. Respectivement, ils opèrent depuis la Russie, la Chine et l'Iran.
Les noms de ces groupes sont déjà connus de longue date. Ils peuvent varier en fonction des attributions par des sociétés de cybersécurité. Strontium est autrement connu en tant que APT28, Fancy Bear, Pawn Storm ou Sofacy. Pour Zirconium, le nom de APT31 est plus fréquemment associé. Quant à Phosphorus, il s'agit de APT35, Charming Kitten, Ajax Security ou encore NewsBeef.
Today we’re sharing details on #cyberattacks targeting the upcoming U.S. elections. ?️
— Microsoft On the Issues (@MSFTIssues) September 10, 2020
Here’s what we’ve seen and what can be done to protect democracy. https://t.co/WdAhIo0so1
Ce n'est pas la première fois que Microsoft donne l'alerte pour des cyberattaques de tels groupes. En juin, Google avait également alerté au sujet de cyberattaques de APT31 (Zirconium) pour Joe Biden et APT35 (Phosphorus) pour Donald Trump avec des tentatives de phishing ciblé (spear phishing ; avec des techniques d'ingénierie sociale) sur les équipes de campagne.
D'après Microsoft, la majorité des attaques ont été détectées et bloquées. Pour le cas de Strontium par exemple, le groupe aurait ciblé plus de 200 organisations à travers le monde entre septembre 2019 et aujourd'hui.
" Strontium lance des campagnes pour récupérer les identifiants de connexion des personnes ou compromettre leurs comptes, vraisemblablement pour faciliter la collecte de renseignements ou les opérations de perturbation ", écrit Tom Burt, vice-président de Microsoft pour la sécurité.
De nombreuses cibles de Strontium sont directement ou indirectement en lien avec les prochaines élections américaines, mais aussi des organisations en rapport avec la politique en Europe.
Some of the great work by the MSTIC team that identified these attacks is detailed in their technical blog regarding Strontium's activities.https://t.co/jrGqeTGhQO https://t.co/GtqDEbp1yh
— Tom Burt (@TomBurt45) September 10, 2020
Si Strontium affectionnait le spear phishing, le groupe a plus récemment montré un recours aux attaques par force brute et au password spraying. Cette pulvérisation de mots de passe est une attaque par force brute reposant sur un ensemble limité de mots de passe faibles - et couramment utilisés - qui sont testés sur des comptes.
Afin de masquer ou déguiser de telles attaques qui sont par nature faciles à détecter, Strontium s'appuie sur plus d'un millier d'adresses IP en rotation constante. Beaucoup sont associées au service d'anonymisation Tor.