Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joint à la National Security Agency (NSA) des États-Unis et à différents partenaires internationaux pour publier le présent bulletin conjoint de cybersécurité.
Le bulletin porte sur des cyberactivités parrainées par la Russie qui ciblent des fournisseurs de services logistiques et les entreprises de TI occidentales, particulièrement celles qui participent à l’assistance étrangère à l’Ukraine.
Les cibles connues comprennent des organismes gouvernementaux, des entités commerciales de différents États membres de l’OTAN, de l’Ukraine, ainsi que des organisations internationales. Les secteurs ciblés comprennent :
- l’industrie de la défense;
- les transports et des lieux connexes, comme les ports et les aéroports;
- le secteur maritime;
- la gestion du trafic aérien;
- les services TI.
Cette campagne de cybermenace axée sur l’espionnage a été attribuée à un groupe (unité militaire 26165) qui fait partie de la direction générale du renseignement (GRU) de l’État-major des Forces armées de la Fédération de Russie. Au sein de la collectivité de la cybersécurité, cette unité est plus communément appelée APT28, Fancy Bear, Forest Blizzard ou Blue Delta.
Cette campagne mélange diverses tactiques, techniques et procédures (TTP) utilisées précédemment par l’unité 26165, y compris :
- les rafales de mots de passe;
- le harponnage;
- la modification des autorisations de la boîte aux lettres Microsoft Exchange.
Le présent bulletin vise à avertir les cadres et les responsables de la défense des réseaux des fournisseurs de services logistiques et des entreprises de TI :
- de se méfier, car les menaces sont plus nombreuses;
- d’adapter leur posture de cybersécurité en supposant qu’ils sont ciblés;
- d’accroître la surveillance et la chasse aux cybermenaces en tenant compte des TTP et des indicateurs de compromission mentionnés dans la présente;
- de mettre en œuvre les mesures d’atténuation recommandées.
Consultez la version intégrale du bulletin conjoint sur le GRU russe qui cible des fournisseurs de services logistiques et des entreprises de TI occidentales (PDF) (en anglais seulement).