Amazon neutralise des domaines utilisés par des pirates russes pour cibler les systèmes Windows

Amazon vient de porter un coup significatif aux activités de piratage russes en saisissant plusieurs domaines internet utilisés pour des attaques par hameçonnage.

Amazon vient enfin d’agir contre les pirates russes en se débarrassant de nombreux domaines. Cette intervention fait suite à la découverte d'une vaste campagne malveillante orchestrée par le groupe Midnight Blizzard, également connu sous le nom d'APT29, un acteur lié aux services de renseignement russes.

CJ Moses, Directeur de la Sécurité des Systèmes d'Information d'Amazon, a révélé dans un billet de blog que ces cybercriminels ciblaient principalement des agences gouvernementales, des entreprises et des organisations militaires. Leur stratégie consistait à se faire passer pour Amazon Web Services (AWS) en envoyant des courriels frauduleux rédigés en ukrainien.

Lire également – Ça fait 6 ans que les pirates exploitent cette faille critique de Windows 10 et 11, Microsoft vient à peine de la corriger

Les pirates ciblaient les utilisateurs de Windows

Fait notable, l'objectif de ces attaques n'était pas de compromettre AWS ni de dérober des identifiants liés aux services cloud d'Amazon. Les pirates cherchaient plutôt à obtenir des identifiants Windows pour exploiter le service Microsoft Remote Desktop. Les pirates ciblaient ensuite toutes les données stockées sur les disques durs de la cible, le presse-papiers de Windows et les partages réseau mappés. « Dès que nous avons eu connaissance de cette activité, nous avons immédiatement lancé le processus de saisie des domaines utilisés par APT29 pour interrompre leur opération », a précisé Moses.

Cette action s'est déroulée en collaboration avec le CERT-UA, l'équipe ukrainienne d'intervention en cas d'urgence informatique, qui a publié un avis détaillant l'opération. Midnight Blizzard s'est récemment fait connaître pour avoir orchestré une attaque majeure contre Microsoft début 2024, compromettant les comptes de messagerie professionnels des départements de cybersécurité et juridiques de l'entreprise.

Cette intrusion chez Microsoft avait eu des répercussions au-delà de l'entreprise elle-même, affectant également des comptes d'organisations externes. Face aux critiques de la communauté cybersécurité et du gouvernement américain, Microsoft avait alors lancé sa « Secure Future Initiative », un programme complet de refonte de sa sécurité.

APT29 reste l'une des cybermenaces les plus efficaces de Russie et s'est récemment fait connaître pour l'utilisation de failles accessibles uniquement aux vendeurs de logiciels espions. Il reste maintenant à voir si les géants du numérique comptent ou non s’allier à l’avenir pour faire face à de telles menaces.