La division de Microsoft dédiée à la cybersécurité a publié un rapport, mercredi 12 février, sur BadPilot. Cette entité du groupe de hackers russe Seashell Blizzard permet à ce dernier d’obtenir des accès persistants sur des réseaux d’infrastructures critiques et lui donne la capacité de cibler des organisations partout dans le monde.
Si sur le terrain, le conflit opposant l’Ukraine à la Russie reste cantonné à l’est, la cyberguerre, elle, ne connaît pas de frontières. Microsoft Threat Intelligence a publié des recherches sur BadPilot, un sous-groupe utilisé depuis 2021 par Seashell Blizzard, un groupe de pirates également connu sous le nom de Sandworm, lié au service de renseignement militaire russe (GRU). BadPilot cible les infrastructures critiques exposées sur Internet à l’échelle mondiale, afin de maintenir un accès persistant à Seashell Blizzard, qui peut ensuite mener des opérations ciblées, « allant de l’espionnage aux attaques destructrices, en passant par des opérations d’influence et la manipulation de systèmes de contrôle industriel (ICS) », décrivent les chercheurs.
Un groupe aligné sur les intérêts russes
Bien que le sous-groupe mène des attaques opportunistes, il s’aligne sur les intérêts stratégiques de Moscou, selon Microsoft Threat Intelligence, en préparant le terrain pour Seashell Blizzard, qui est en mesure d’étendre ses opérations à mesure que de nouveaux exploits sont découverts. Ce dernier est d’ailleurs responsable de plusieurs attaques informatiques alignées sur les objectifs militaires russes depuis le début du conflit, ayant touché des cibles stratégiques ukrainiennes liées aux secteurs de l’énergie, de l’industrie, des armées, des télécommunications, ainsi que des transports et de la logistique.
Des accès à des secteurs sensibles
BadPilot utilise des techniques d’accès opportunistes et des méthodes de persistance furtive afin de collecter des identifiants, exécuter des commandes et permettre des déplacements latéraux. Il a « permis à Seashell Blizzard d’obtenir un accès à des cibles mondiales dans des secteurs sensibles tels que l’énergie, le pétrole et le gaz, les télécommunications, le transport maritime, l’armement et les gouvernements internationaux. » Depuis le début de 2024, BadPilot aurait ainsi compromis des systèmes partout à travers le monde, en Europe, au Moyen-Orient, en Asie centrale, au Canada, en Australie, mais aussi aux États-Unis et au Royaume-Uni, où il aurait exploité des vulnérabilités dans des logiciels de gestion et de surveillance informatique à distance, tels que ConnectWise ScreenConnect, un logiciel qui permet au service informatique d'accéder à distance aux ordinateurs de l'entreprise.
L’équipe de sécurité de Microsoft craint que ce sous-groupe à la portée mondiale continue de développer de nouvelles techniques d’attaque et ne renforce les capacités opérationnelles de Seashell Blizzard.
