Casiers de stockage cloud de Microsoft et Google utilisés pour stocker et diffuser des logiciels malveillants soutenus par un État.

Les espions cybercriminels sponsorisés par l’État qui portent un chapeau noir utilisent de plus en plus des services cloud légitimes pour attaquer leurs victimes, selon les chasseurs de menaces de Symantec qui ont repéré trois telles opérations au cours des derniers mois, en plus de nouveaux outils de vol de données et autres malwares en développement par ces voyous. Marc Elias de la firme de sécurité a discuté des différents groupes et de leurs plateformes cloud préférées lors d’une conférence mercredi à la conférence Black Hat sur la sécurité informatique. Il a déclaré au Register que les criminels utilisent les clouds pour de nombreuses raisons identiques aux organisations légitimes, en plus du fait qu’ils permettent d’éviter plus facilement d’être repérés en train de fouiner sur les réseaux des victimes. « L’un des avantages est que les coûts d’infrastructure sont nuls pour les groupes étatiques », a expliqué Elias, chasseur de menaces chez Symantec, lors d’une entrevue en marge de la conférence annuelle des hackers à Las Vegas. « Ils peuvent créer des comptes gratuits sur Google Drive ou Microsoft, et ils n’ont pas à payer pour maintenir cette infrastructure », a-t-il ajouté. « De plus, il est difficile de détecter ce type d’attaques car le trafic est crypté et il se dirige vers des domaines légitimes. » Certaines campagnes récentes incluent un backdoor nommé « Grager » par Symantec après l’avoir repéré utilisé contre trois organisations à Taïwan, Hong Kong et au Vietnam en avril. Ce malware utilisait l’API Graph de Microsoft pour communiquer avec le serveur de commande et de contrôle de l’attaquant, hébergé sur Microsoft OneDrive.

Share the Post: