L'article de Giuseppe Gagliano
Le Centre de coordination de la cybersécurité (HC3) du Département américain de la santé et des services sociaux a publié une note de menace fournissant des informations sur les cyber-organisations des services de renseignement russes qui constituent une menace pour les organisations aux États-Unis, y compris les soins de santé et la santé publique (HPH).
Le Threat Brief fournit des informations sur quatre acteurs majeurs de la menace persistante avancée menant des cyberactivités offensives et de l'espionnage au sein des services de renseignement russes. Ces acteurs étaient liés au Service fédéral de sécurité (FSB), au Service de renseignement extérieur (SVR) et à la Direction générale du renseignement de l'État-major général des armées (GRU).
Turla, alias Venomous Bear / Iron Hunter / KRYPTON / Waterbug, opère sous la direction du FSB et cible principalement des secteurs tels que le milieu universitaire, l'énergie, le gouvernement, l'armée, les télécommunications, la recherche, les sociétés pharmaceutiques et les ambassades étrangères, et est actif depuis à moins 2004. Le groupe est connu pour utiliser des logiciels malveillants sophistiqués et des portes dérobées et se concentre principalement sur les activités d'espionnage diplomatique dans les anciens pays du bloc de l'Est, bien qu'il ait été responsable de l'attaque contre le commandement central américain en 2008, contre les participants au G20 en 2017 et contre le réseau informatique du gouvernement en Allemagne en 2018.
APT29, alias Cozy Bear, YTTRIUM, Iron Hemlock et The Dukes, opère sous la direction du SVR et s'adresse principalement aux industries et groupes de réflexion universitaires, énergétiques, financiers, gouvernementaux, de la santé, des médias, pharmaceutiques et technologiques. L'acteur APT existe depuis au moins 2008 et utilise une gamme de logiciels malveillants et de variantes de porte dérobée. L'acteur APR cible principalement les pays européens et de l'OTAN et est connu pour mener des campagnes de harponnage pour obtenir un accès furtif à long terme aux réseaux cibles, et est particulièrement persistant et concentré sur des cibles spécifiques. L'acteur APT vole les informations mais ne les divulgue pas. APT29 est connu pour être à l'origine de l'attaque du Pentagone en 2015, de l'attaque SolarWinds Orion en 2020 et des développeurs de vaccins COVID-19 ciblés pendant la pandémie.
APT28, alias Fancy Bear, STRONTIUM, Sofacy, Iron Twilight, opère sous la direction de GRU et est en activité depuis 2004. APT28 s'adresse aux dissidents et aux secteurs de l'aérospatiale, de la défense, de l'énergie, du gouvernement, de la santé, de l'armée et des médias. Le groupe utilise une variété de logiciels malveillants, un téléchargeur pour les infections de niveau supérieur et rassemble des informations système et des métadonnées pour distinguer les environnements réels des bacs à sable.
APT28 cible principalement les pays de l'OTAN et est connu pour utiliser des logiciels malveillants, le phishing et la collecte d'informations d'identification et a tendance à mener des attaques bruyantes plutôt que furtives. Le groupe vole et divulgue des informations pour servir les intérêts politiques de la Russie. Le groupe était à l'origine de l'attaque contre l'Agence mondiale antidopage en 2016, de la cyberattaque et de la fuite de données du Comité national démocrate américain et de la campagne Clinton en 2016, ainsi que des élections allemandes et françaises en 2016 et 2017.
Sandworm, alias Voodoo Bear, ELECTRUM, IRIDIUM, Telebots et Iron Viking, opère sous la direction du GRU et est en activité depuis au moins 2007. Sandworm cible principalement les secteurs de l'énergie et du gouvernement et est le plus destructeur. Sandworm cible les systèmes informatiques à des fins destructrices, telles que la conduite d'attaques de logiciels malveillants d'effacement, en particulier en Ukraine. Le groupe utilise des logiciels malveillants tels que BadRabbit, BlackEnergy, GCat, GreyEnergy, KillDisk, NotPetya et Industroyer. Sandworm était à l'origine des multiples attaques contre le gouvernement ukrainien et ses infrastructures critiques en 2015-2016 et 2022, des attaques contre des sites Web géorgiens avant l'invasion russe en 2008 et des attaques de NotPetya en 2017.
Les tactiques, techniques, procédures et logiciels malveillants utilisés par chacun de ces groupes sont différents, mais certaines mesures d'atténuation peuvent être mises en œuvre pour améliorer la résilience et bloquer les principaux vecteurs d'attaque.
Cet article est une traduction automatique de la langue italienne d’un article publié sur le magazine Début Magazine à l’URL https://www.startmag.it/sanita/tutte-le-minacce-informatiche-russe-alla-sanita-usa/ le Thu, 26 May 2022 05:50:16 +0000.