Les pirates russes de Forest Blizzard exploitent une faille pour voler des mots de passe

Forest Blizzard, un gang de cybercriminels en provenance de la Russie, organise des cyberattaques exploitant une faille de Windows. D’après l’enquête menée par Microsoft, les pirates se servent aussi d’un nouveau virus.

Microsoft a découvert qu’une faille dans le système d’exploitation Windows est activement exploitée par les pirates russes de Forest Blizzard. Également connus sous le nom de Fancy Bear ou d’APT28, les cybercriminels sont parrainés par les services de renseignement de la Russie. Sur ordre de Moscou, ils orchestrent essentiellement des opérations d’espionnage. Le gang est actif depuis une vingtaine d’années.

À lire aussi : La menace Sandworm – les cyberattaques russes se multiplient dans le monde

GooseEgg, le nouveau virus dans l’arsenal de Forest Blizzard

Apparemment, les hackers se sont mis à exploiter une vulnérabilité intitulée CVE-2022-38028, en juin 2020, voire dès avril 2019, indique le rapport de Microsoft. En se servant de cette faille dans le système d’exploitation, les pirates sont parvenus à pénétrer dans des infrastructures informatiques pour y voler des données sensibles. Sans surprise, ils visent surtout des données d’identification, à savoir des identifiants et des mots de passe.

Pour exploiter la brèche, les cybercriminels s’appuient sur un outil de piratage appelé GooseEgg. Ce malware est utilisé pour déposer un autre logiciel malveillant au sein de Print Spooler, ou le spouleur d’impression, le logiciel de Windows qui gère toutes les tâches d’impression envoyées à l’imprimante depuis l’ordinateur. Grâce à cet « outil personnalisé », Forest Blizzard peut s’octroyer des privilèges système. Ce n’est pas la première fois que PrintSpooler est utilisé par des pirates pour mener des cyberattaques. Le logiciel a notamment déjà servi au virus Stuxnet lors d’une attaque visant les centrales nucléaires de l’Iran en 2010.

Concrètement, GooseEgg va lancer des programmes supplémentaires depuis le terminal de Windows en leur donnant des droits d’accès supérieurs. Une fois que c’est fait, les pirates peuvent exécuter du code à distance et piocher impunément dans les données stockées sur l’ordinateur. Quand une application Windows s’exécute avec des autorisations élevées, elle est en effet libre d’accéder à des fichiers protégés. Selon Microsoft, le gang russe est le seul à se servir de GooseEgg dans ses opérations.

« L’utilisation de GooseEgg dans les opérations de Forest Blizzard est une découverte unique qui n’avait pas été signalée auparavant », ajoute l’entreprise.

Une vulnérabilité corrigée en 2022

L’éditeur américain affirme avoir identifié des cyberattaques, reposant sur la faille de Windows et sur GooseEgg, contre des « organisations gouvernementales, non gouvernementales, éducatives et du secteur des transports d’Ukraine, d’Europe occidentale et d’Amérique du Nord ».

Microsoft précise avoir corrigé la brèche en octobre 2022 par le biais d’une mise à jour. Par ailleurs, le géant de Redmond ajoute que Microsoft Defender est capable de détecter une cyberattaque reposant sur GooseEgg. Comme toujours, on vous recommande donc de garder votre ordinateur à jour. Pour vous protéger contre d’éventuelles attaques, il est important d’installer les mises à jour proposées périodiquement par Microsoft.

C’est loin d’être la première fois que les cybercriminels russes exploitent une vulnérabilité corrigée de Windows pour orchestrer des attaques. De même, les hackers détournent parfois des outils mis au point par Microsoft pour faciliter la vie de ses utilisateurs. Le mois dernier, Microsoft révélait d’ailleurs que Forest Blizzard se servait du protocole “search:” pour déployer des attaques phishing.