Microsoft a clairement confirmé que des groupes russes sont très actifs à influencer la politique américaine dans la perspective des élections de novembre prochain.
La semaine dernière, la DCU (Microsoft Digital Crimes Unit) a exécuté avec succès une ordonnance judiciaire visant à perturber et à transférer le contrôle de six domaines Internet créés par un groupe largement associé au gouvernement russe : Fancy Bear alias Strontium ou APT28. Microsoft indique avoir utilisé cette approche 12 fois en deux ans pour fermer 84 faux sites Web associés à ce groupe. Les attaquants essayent de faire en sorte que leurs attaques soient aussi réalistes que possible et créent par conséquent des sites Web et des URL qui ressemblent à des sites auxquels leurs victimes ciblées pourraient s’attendre de recevoir ou de recevoir par courrier électronique. Les sites impliqués dans l’offensive de la semaine dernière correspondent à cette description.
Face à cette nouvelle menace, Microsoft a lancé une nouvelle initiative appelée Microsoft AccountGuard. Cette initiative fournira une protection de pointe contre la cybersécurité sans coût supplémentaire à tous les candidats et bureaux de campagne aux niveaux fédéral, des États et local, ainsi qu’aux groupes de réflexion et aux organisations politiques qui, selon nous, sont attaqués. La technologie est gratuite pour les candidats, les campagnes et les institutions politiques apparentées utilisant Office 365.
Une expansion des cibles politiques
L’offensive de la semaine dernière a transféré le contrôle des six domaines Internet énumérés ci-dessous de Strontium à Microsoft, empêchant Strontium de les utiliser et permettant de rechercher plus précisément les éléments que Strontium avait l’intention de faire avec ces domaines. Ces six domaines sont répertoriés ci-dessous.
Liste de six domaines Internet attribués
à Fancy Bears par Microsoft
Ces domaines montrent un élargissement des entités ciblées par les activités de Fancy Bears. L’un d’entre eux ressemble fortement au nom de domaine de l’Institut républicain international (IRI), un think tank dirigé par un conseil d’administration comprenant six sénateurs républicains – dont le très critique sénateur John McCain – et un candidat sénatorial de premier plan. Un autre est similaire au domaine utilisé par le Hudson Institute qui travaille sur des sujets tels que la cybersécurité. Pourquoi prendre ces instituts conservateurs pour cibles ? En fait, tous deux se sont fortement critiques par rapport à la Russie et à ses intrusions dans la politique américaine et ont émis de très fortes réserves sur le comportement du président Donald Trump.
D’autres domaines semblent faire référence au Sénat américain mais ne sont pas spécifiques à des bureaux particuliers. Microsoft précise n’avoir aucune preuve que ces domaines ont été utilisés dans des attaques réussies avant que le DCU ne les ait transférées, et ne dispose pas non plus de preuves pour identifier les cibles ultimes de toute attaque planifiée impliquant ces domaines.
Microsoft a notifié les deux organisations à but non lucratif. Tous deux ont réagi et Microsoft continuera de travailler en étroite collaboration avec eux et d’autres organisations ciblées pour contrer les menaces de cybersécurité pour leurs systèmes. Nous avons également surveillé et abordé les activités de domaine avec le personnel informatique du Sénat au cours des derniers mois, à la suite d’attaques antérieures sur le personnel de deux sénateurs actuels.
Déclaration de l’IRI après l’attaque Fancy Bears
L’IRI maintient activement des niveaux élevés de protection de la cybersécurité, collabore avec des professionnels de la sécurité privée pour protéger l’Institut et, dans ce cas, a collaboré avec Microsoft. IRI a été ciblé par le passé et a pris des mesures proactives pour se défendre contre ces types de menaces de cybersécurité.
Les cyberattaques sont devenues l’un des outils privilégiés des autoritaires du monde entier pour harceler et saper les organisations indépendantes et les gouvernements démocratiques », précisé le président de l’IRI, Daniel Twining.
Cette dernière tentative est cohérente avec la campagne d’ingérence menée par le Kremlin contre les organisations qui soutiennent la démocratie et les droits de l’homme. Il est clairement conçu pour semer la confusion, le conflit et la peur parmi ceux qui critiquent le régime autoritaire de M. Poutine.Depuis plus de trente ans, l’IRI a travaillé avec des organisations de la société civile, des citoyens et des partis politiques de tous horizons politiques pour renforcer la gouvernance représentative et encourager les pratiques démocratiques. Le fait que le Kremlin trouve cela si menaçant vous indique tout ce que vous devez savoir sur ses priorités.
L’IRI travaille à renforcer les démocraties et à combattre les menaces qui pèsent sur les processus démocratiques, notamment par le biais de notre projet Beacon, qui vise à contrer la désinformation du Kremlin en Europe.