Les avocats de Microsoft sonnent la chasse à l’ours

Sécurité : Le département juridique de Microsoft s’est lancé dans une guérilla afin de perturber les actions du groupe Fancy Bear, un groupe de cybercriminels soupçonnés de travailler pour le gouvernement russe. Microsoft s’attaque aux noms de domaines utilisés par le groupe afin de glaner des informations sur les attaques menées par celui-ci.

Le débat sur le “hack back” a récemment fait son retour aux États Unis, certains sénateurs évoquant la possibilité pour les entreprises de contre-attaquer après une attaque informatique. L’idée pourrait transformer internet en véritable Far West, mais force est de constater que les entreprises apprécient de moins en moins de rester les bras croisés face aux groupes de cybercriminels qui tentent de percer leur défense.

Mais plutôt que de rendre la pareille à grands coups de malwares, Microsoft préfère s’appuyer sur les talents de son département juridique afin de compliquer la vie des cybercriminels. Et Microsoft ne s’attaque pas à n’importe quel groupe : l’éditeur américain a en effet lancé une véritable offensive visant à perturber le fonctionnement du groupe Fancy Bear, aussi connu sous le nom de Pawn Storm, Sofacy Group, Sednit, Strontium ou encore APT28.

 

Parmi les faits d’armes de ce groupe on retrouve les attaques ayant visé le Comité National Démocrate, les attaques ayant visé le Bundestag ou encore celle ayant empêché la diffusion du signal de TV5Monde pendant plusieurs jours en 2015. Autant dire qu’il s’agit d’un gros poisson, qui présente la particularité de souvent s’attaquer à ses cibles en exploitant des failles au sein des services de Microsoft ou d’imiter ses sites web afin de tromper les utilisateurs dans le cadre d’opérations de phishing par exemple.

Fancy Bear a ainsi recours à des url telles que rsshotmail.com ou livemicrosoft.net : enregistrés à bas prix, ces noms de domaines ressemblent à ceux utilisés par Microsoft mais sont en réalité déposés et gérés par le groupe de cybercriminels.

Les noms de domaines, nerf de la cyberguerre ?

Comme le rapporte le Daily Beast, Microsoft a donc choisi la voie juridique pour s’attaquer à Fancy Bear et vise plus particulièrement les noms de domaines enregistrés par les cybercriminels. Ces noms de domaines ont plusieurs usages pour Fancy Bear, qui peut les utiliser pour rendre ses attaques de phishing plus crédible ou pour rediriger le trafic en direction de ses serveurs de control et command, utilisés, pour communiquer avec les logiciels malveillants installés sur les machines des victimes.

Selon le Daily Beast, l’équipe juridique de Microsoft a donc entrepris de retrouver et de réclamer l’usage des noms de domaines déposés par Fancy Bear devant les juges. En l’espace d’un an, les équipes de Microsoft sont ainsi parvenues à récupérer environ 70 noms de domaines initialement utilisés par le groupe Fancy Bear. Ceux-ci sont généralement déposés à travers un faux nom et une fausse identité, ce qui empêche de retrouver la trace des attaquants.

L’offensive n’empêche pas le groupe de continuer ses agissements, puisqu’il leur suffit de déposer de nouveaux noms de domaines, mais cette initiative permet également à Microsoft de se faire une idée de l’étendue des attaques menées par Fancy Bear. La saisie des noms de domaines utilisés comme serveur de command&control permet en effet à Microsoft d’identifier les victimes en regardant quelles sont les machines contactant le nom de domaine.

En analysant ce trafic, Microsoft est ainsi parvenu à identifier 122 victimes des attaques de Fancy Bear et à les prévenir en contactant leur fournisseur d’accès à Internet.

Les avocats de Microsoft sonnent la chasse à l’ours

Source : L’article << Les avocats de Microsoft sonnent la chasse à l’ours >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:10+00:00

Laisser un commentaire