Microsoft affirme que des groupes de pirates informatiques nord-coréens ont violé plusieurs cibles du gouvernement et de la défense russes depuis le début de l’année.
Comme l’affirme l’entreprise dans un rapport publié aujourd’hui sur les menaces en provenance d’Asie de l’Est, les acteurs de la menace profitent de l’attention portée par la Russie à l’invasion de l’Ukraine pour récolter des renseignements sur les systèmes russes compromis.
« Plusieurs acteurs nord-coréens ont récemment ciblé le gouvernement russe et l’industrie de défense – probablement pour la collecte de renseignements – tout en fournissant simultanément un soutien matériel à la Russie dans sa guerre contre l’Ukraine », a déclaré Clint Watts, directeur du centre d’analyse des menaces numériques de Microsoft.
Microsoft n’a pas encore fourni de détails supplémentaires sur ces attaques, notamment sur les organisations russes qui ont été violées, mais le rapport de la société donne un aperçu du moment où certaines de ces attaques ont eu lieu.
Une entité russe de recherche aérospatiale et des comptes diplomatiques russes ont tous été piratés en mars dernier, selon Redmond.
« En mars 2023, Ruby Sleet a compromis un institut de recherche aérospatiale en Russie. De plus, Onyx Sleet (PLUTONIUM) a compromis un appareil appartenant à une université en Russie début mars », a déclaré l’équipe Microsoft Threat Intelligence.
« Par ailleurs, un compte malveillant attribué à Opal Sleet (OSMIUM) a envoyé des courriels de phishing à des comptes appartenant à des entités gouvernementales diplomatiques russes au cours du même mois. »
Les cyberattaques nord-coréennes orchestrées par des groupes menaçants suivis comme Ruby Sleet (alias CERIUM) et Diamond Sleet (alias ZINC et Lazarus) ont également étendu leur portée pour inclure les fabricants d’armes de divers pays, parmi lesquels figurent notamment l’Allemagne et Israël.
Les entreprises de défense du Brésil, de la Tchéquie, de la Finlande, de l’Italie, de la Norvège et de la Pologne ont également été victimes de ces intrusions, le tout dans le cadre d’un effort coordonné visant à renforcer les capacités militaires du pays.
« De novembre 2022 à janvier 2023, Microsoft a observé un deuxième cas de chevauchement de ciblage, Ruby Sleet et Diamond Sleet compromettant les entreprises de défense », a déclaré Microsoft.
« Depuis janvier 2023, Diamond Sleet a également compromis des entreprises de défense au Brésil, en Tchéquie, en Finlande, en Italie, en Norvège et en Pologne. »
Le rapport de Microsoft fait suite à celui publié le mois dernier par SentinelLabs liant le groupe de piratage APT37 soutenu par l’État nord-coréen à la violation du fabricant de missiles russe NPO Mashinostroyeniya.
La société est sanctionnée par l’Office of Foreign Assets Control (OFAC) du Département américain du Trésor pour son rôle dans l’invasion russe de l’Ukraine.
Bien que l’objectif des attaquants ne soit pas clair, SentinelLabs a souligné que les efforts de cyberespionnage du groupe se sont concentrés sur le vol de données sur les réseaux d’organisations compromises.
La porte dérobée OpenCarrot déployée par APT37 sur les systèmes de l’entité de défense russe était auparavant liée à un autre groupe menaçant nord-coréen, le groupe Lazarus.