Principaux points à retenir
- Les collectifs de pirates ont adopté l'API Microsoft Graph pour brouiller leurs interactions avec l'infrastructure C2
- Des collectifs notables, dont APT28 et REF2924, ont utilisé cette méthode pendant plus de 2,5 ans
- L'émergence du logiciel malveillant BirdyClient a ciblé une entité ukrainienne non divulguée
- Les pirates exploitent les services cloud Microsoft pour héberger des logiciels malveillants, tirant parti de leur fiabilité et de leur rentabilité
- APT28, un acteur de la menace parrainé par l'État russe, continue d'exploiter les solutions Microsoft à des fins malveillantes
Analyse
L'exploitation de l'API Microsoft Graph par les collectifs de pirates a des implications importantes pour Microsoft et l'industrie technologique dans son ensemble. L'abus de services cloud réputés pour héberger des logiciels malveillants, comme en témoigne la variante BirdyClient, compromet non seulement la sécurité des entités ciblées, mais érode également la confiance des utilisateurs dans les protections basées sur le cloud. Cette évolution pourrait inciter Microsoft à renforcer ses mesures de sécurité, entraînant potentiellement des directives d'utilisation de l'API plus strictes et des protocoles de détection des logiciels malveillants améliorés.
Les pays dotés d'acteurs de menace soutenus par l'État, comme la Russie dans le cas d'APT28, peuvent faire face à des conséquences économiques et des dommages à leur réputation. Par conséquent, on peut s'attendre à une recrudescence de la demande d'instruments financiers tels que l'assurance cybersécurité, les entreprises s'efforçant d'atténuer les risques croissants posés par les cybermenaces. Les implications à long terme soulignent l'impératif d'une collaboration mondiale pour établir des normes et des réglementations en matière de cybersécurité afin de protéger les infrastructures critiques et de favoriser la confiance dans les écosystèmes numériques.