Une campagne d’attaque par force brute en cours ciblant les environnements cloud d’entreprise est menée par le renseignement militaire russe depuis la mi-2019, selon un avis conjoint publié par les agences de renseignement du Royaume-Uni et des États-Unis.
La National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et le National Cyber Security Center (NCSC) du Royaume-Uni ont officiellement attribué les incursions à la Direction générale du renseignement (GRU) de l’état-major général russe. 85e Centre Principal de Services Spéciaux (GTsSS).
le acteur menaçant est également suivi sous divers surnoms, y compris APT28 (FireEye Mandiant), Ours fantaisie (CrowdStrike), Sofacy (Kaspersky), STRONTIUM (Microsoft), et Crépuscule de fer (Secureworks).
APT28 a l’habitude d’utiliser le spray de mot de passe et les tentatives de connexion par force brute pour voler les identifiants de connexion. En novembre 2020, Microsoft divulgué cyberattaques organisées par l’adversaire visant les entreprises impliquées dans la recherche de vaccins et de traitements pour COVID-19. Ce qui est différent cette fois-ci, c’est la dépendance de l’acteur à l’égard des conteneurs logiciels pour faire évoluer ses tentatives de force brute.
« La campagne utilise un cluster Kubernetes dans les tentatives d’accès par force brute contre les environnements d’entreprise et de cloud des cibles du gouvernement et du secteur privé dans le monde entier », CISA mentionné. « Après avoir obtenu des informations d’identification par force brute, le GTsSS utilise une variété de vulnérabilités connues pour un accès supplémentaire au réseau via l’exécution de code à distance et le mouvement latéral. »
Certaines des autres failles de sécurité exploitées par APT28 pour pivoter à l’intérieur des organisations violées et accéder aux serveurs de messagerie internes incluent –
- CVE-2020-0688 – Vulnérabilité d’exécution de code à distance de la clé de validation Microsoft Exchange
- CVE-2020-17144 – Vulnérabilité d’exécution de code à distance Microsoft Exchange
Les acteurs de la menace auraient également utilisé différentes techniques d’évasion pour tenter de dissimuler certains composants de leurs opérations, notamment le routage des tentatives d’authentification par force brute via Tor et des services VPN commerciaux, notamment CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark et WorldVPN.
Les agences ont déclaré que les attaques visaient principalement les États-Unis et l’Europe, ciblant le gouvernement et l’armée, les sous-traitants de la défense, les sociétés énergétiques, l’enseignement supérieur, les sociétés de logistique, les cabinets d’avocats, les sociétés de médias, les consultants politiques ou les partis politiques et les groupes de réflexion.
« Les gestionnaires de réseau devraient adopter et étendre l’utilisation de l’authentification multifacteur pour aider à contrer l’efficacité de cette capacité », l’avis c’est noté. « Les mesures d’atténuation supplémentaires pour garantir des contrôles d’accès stricts incluent des fonctionnalités de délai d’attente et de verrouillage, l’utilisation obligatoire de mots de passe forts, la mise en œuvre d’un modèle de sécurité Zero Trust qui utilise des attributs supplémentaires lors de la détermination de l’accès et des analyses pour détecter les accès anormaux. »
