L'année dernière, les avocats du géant du logiciel ont donc discrètement porté plainte contre le groupe de pirates informatiques devant un tribunal fédéral, l'accusant d'intrusion informatique, de cybersquattage et de violation des marques déposées de Microsoft. L'action, cependant, ne consistait pas à faire venir les pirates russes devant le tribunal. Le procès était juste un moyen pour Microsoft de cibler ce que la société considère comme « le point le plus vulnérable » dans les opérations d'espionnage de Fancy Bear, à savoir les serveurs de commande et de contrôle utilisés par les pirates pour contrôler des logiciels malveillants sur les ordinateurs victimes. Microsoft voulait en effet prendre le contrôle des domaines utilisés par le groupe Fancy Bear dans le cadre de ses opérations.
D'après The Daily Beast qui a d'abord rendu l'affaire publique il y a un mois, Microsoft a utilisé cette action en justice pour prendre le contrôle de 70 points de commande et de contrôle différents de Fancy Bear. L'approche de l'entreprise est indirecte, mais efficace. Plutôt que de mettre la main sur les serveurs physiques que Fancy Bear loue dans différents datacenters à travers le monde, Microsoft a repris le contrôle des noms de domaine qu'il utilise. APT 28 a en effet enregistré des domaines qui ressemblent à des domaines légitimes de Microsoft. On y trouve par exemple des noms de domaines comme « livemicrosoft[.]net » ou « rsshotmail[.]com ».
Une fois les domaines sous le contrôle de Microsoft, le trafic à destination des serveurs de Fancy Bear a été redirigé vers les serveurs du géant du logiciel, coupant donc le contact entre les pirates et leurs victimes et donnant à Microsoft une bonne visibilité du réseau de machines infectées contrôlées par Fancy Bear. En effet, chaque fois qu'un ordinateur infecté tente de contacter un serveur de commande et de contrôle via l'un des domaines, il sera plutôt connecté à un serveur sécurisé qui est contrôlé par Microsoft. Il s'agit d'une technique couramment utilisée pour démanteler des botnets.
Microsoft avait également déposé une requête pour une injonction permanente contre les pirates du groupe Fancy Bear ; une requête que le tribunal a également accordée à l'entreprise. Le juge a statué que les pirates informatiques sont « de façon permanente interdits » d'envoyer des logiciels malveillants aux clients de Microsoft et de pirater des ordinateurs pour espionner les utilisateurs. Dans la décision du tribunal, on peut en effet lire que Fancy Bear est interdit, entre autres, de :
- accéder intentionnellement et d'envoyer des logiciels ou des codes malveillants à Microsoft, aux ordinateurs et systèmes d'exploitation protégés de Microsoft et aux clients de Microsoft, sans autorisation, afin d'infecter ces ordinateurs ;
- attaquer et compromettre intentionnellement des ordinateurs ou des réseaux informatiques de Microsoft ou des clients de Microsoft, surveiller les activités des propriétaires ou des utilisateurs de ces ordinateurs ou réseaux informatiques, et de voler des informations à partir de ces ordinateurs ou réseaux ;
- télécharger ou proposer de télécharger des logiciels malveillants supplémentaires sur les ordinateurs des clients de Microsoft ;
- etc.
La décision indique aussi que le groupe Fancy Bear est interdit d'utiliser les marques et les adresses Internet de Microsoft d'une manière qui pourrait tromper des clients de Microsoft. L'injonction couvre une centaine de marques de Microsoft, toutes évoquant des produits et services du géant du logiciel comme Access, Active Directory, AppLocker, Azure, Bing, Cortana, Exchange, Visual Studio et tout ce que vous pouvez imaginer. L’injonction concerne également toutes variantes similaires aux marques de Microsoft « qui pourraient prêter à confusion ». Comme les pirates informatiques ne se sont jamais présentés aux procédures judiciaires, Microsoft a remporté le procès par défaut.
Sources : Décision du juge de district, The Daily Beast
Et vous ?
Qu’en pensez-vous ?