Les services de renseignement russes accusés d’être à l’origine d’un nouvel outil de cyberespionnage

Le gouvernement britannique a officiellement attribué un nouvel outil de cyberespionnage récemment identifié aux services de renseignement militaires russes.

Selon le National Cyber Security Centre (NCSC) du GCHQ, ce malware, nommé AUTHENTIC ANTICS, a été utilisé par le groupe de cybermenace APT 28, lié au 85^e Centre principal de services spéciaux du GRU (unité militaire 26165).

Cette attribution a été rendue publique simultanément à l’instauration de nouvelles sanctions visant trois unités du GRU — 26165, 29155 et 74455 — ainsi que 18 officiers et agents des renseignements russes. Ces sanctions ciblent des activités de cyberattaque et d’ingérence informationnelle destinées à soutenir les objectifs géopolitiques et militaires de la Russie.

Une analyse du NCSC révèle que AUTHENTIC ANTICS est conçu pour assurer un accès persistant aux services cloud de Microsoft en dérobant des identifiants et des jetons d’authentification utilisateur. Le malware affiche périodiquement une fenêtre de connexion pour collecter les informations d’identification, puis exfiltre les données en envoyant des messages depuis le compte email de la victime vers des boîtes de réception contrôlées par les auteurs. Ces actions sont réalisées de manière furtive, en excluant les courriels envoyés de la boîte d’envoi de l’utilisateur, afin d’éviter toute détection.

Paul Chichester, directeur des opérations du NCSC, a déclaré : « L’utilisation du malware AUTHENTIC ANTICS témoigne de la persistance et de la sophistication de la menace cyber posée par le GRU russe. Nos enquêtes sur les activités du GRU, menées sur plusieurs années, montrent que les défenseurs des réseaux ne doivent pas sous-estimer cette menace, et que la surveillance ainsi que les mesures protectrices sont indispensables pour sécuriser les systèmes. »

Ce malware a été découvert à la suite d’un incident cyber en 2023, investigué conjointement par Microsoft et NCC Group, un fournisseur de réponses aux incidents cyber certifié par le NCSC.

David Lammy, ministre des Affaires étrangères britannique, a souligné : « Les espions du GRU mènent une campagne visant à déstabiliser l’Europe, à saper la souveraineté de l’Ukraine et à menacer la sécurité des citoyens britanniques. Le Kremlin doit comprendre clairement que nous voyons leurs manœuvres dans l’ombre et que nous ne les tolérerons pas. C’est pourquoi nous prenons des mesures décisives avec ces sanctions contre les espions russes. Protéger le Royaume-Uni des menaces est un élément fondamental du Plan pour le Changement de notre gouvernement. »

Le groupe APT 28 a déjà été identifié dans des sources ouvertes sous les noms de Fancy Bear, Forest Blizzard et Blue Delta. Le NCSC avait déjà relié ce groupe à des opérations cyber visant des entreprises logistiques et technologiques occidentales. L’unité 29155 est quant à elle associée à des opérations de sabotage, tandis que l’unité 74455, également connue sous le nom de Sandworm, a été impliquée dans la tentative d’attaque cyber en 2018 contre l’Organisation pour l’Interdiction des Armes Chimiques, ainsi que dans le déploiement du malware Cyclops Blink.

Le NCSC a publié un rapport technique détaillé sur AUTHENTIC ANTICS et les fichiers connexes sur sa page dédiée aux rapports d’analyse de malwares. Cette attribution s’inscrit dans le cadre des efforts plus larges du Royaume-Uni pour contrer les menaces hybrides russes, en coordination avec ses partenaires internationaux.