La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, le Département de la sécurité intérieure (DHS) et le Federal Bureau of Investigation (FBI) ont publié lundi un nouvel avis conjoint dans le cadre de leurs dernières tentatives pour exposer les tactiques, techniques et procédures. (TTP) adoptés par le service russe de renseignement extérieur (SVR) dans ses attaques contre les États-Unis et les entités étrangères.

En employant «des intrusions furtives dans des réseaux compromis», les agences de renseignement mentionné, « l’activité SVR – qui inclut le récent compromis SolarWinds Orion sur la chaîne d’approvisionnement – cible principalement les réseaux gouvernementaux, les groupes de réflexion et les organisations d’analyse des politiques, et les entreprises de technologie de l’information et cherche à recueillir des informations. »

Le cyber-acteur est également suivi sous différents noms, notamment Advanced Persistent Threat 29 (APT29), les Dukes, CozyBear et Yttrium. Le développement intervient alors que les États-Unis ont sanctionné la Russie et ont officiellement épinglé le piratage de SolarWinds et la campagne de cyberespionnage connexe à des agents du gouvernement travaillant pour SVR.

APT29, depuis son émergence dans le paysage des menaces en 2013, a été liée à un certain nombre d’attaques orchestrées dans le but d’accéder aux réseaux de victimes, de se déplacer dans les environnements des victimes sans être détectés et d’extraire des informations sensibles. Mais lors d’un changement de tactique notable en 2018, l’acteur est passé du déploiement de logiciels malveillants sur les réseaux cibles à des services de messagerie basés sur le cloud, un fait confirmé par l’attaque SolarWinds, dans lequel l’acteur a exploité les binaires Orion comme vecteur d’intrusion pour exploiter Microsoft Office 365. environnements.

Cette similitude dans les métiers post-infection avec d’autres attaques sponsorisées par SVR, y compris dans la manière dont l’adversaire s’est déplacé latéralement à travers les réseaux pour accéder aux comptes de messagerie, aurait joué un rôle énorme dans l’attribution de la campagne SolarWinds au service de renseignement russe. , malgré un changement notable dans la méthode utilisée pour s’implanter dans un premier temps.

« Le ciblage des ressources cloud réduit probablement la probabilité de détection en utilisant des comptes compromis ou des erreurs de configuration du système pour se fondre dans le trafic normal ou non surveillé dans un environnement mal défendu, surveillé ou compris par les organisations victimes », a noté l’agence.

Parmi les autres tactiques utilisées par APT29, citons la pulvérisation de mots de passe (observée lors d’un compromis en 2018 sur un grand réseau sans nom), exploitant les failles zero-day contre les appareils de réseau privé virtuel (tels que CVE-2019-19781) pour obtenir un accès au réseau et déployer un malware Golang appelé BIEN-ÊTRE piller propriété intellectuelle de plusieurs organisations impliquées dans le développement du vaccin COVID-19.

Outre CVE-2019-19781, l’acteur de la menace est connu pour s’implanter initialement dans les appareils et les réseaux victimes en tirant parti CVE-2018-13379, CVE-2019-9670, CVE-2019-11510, et CVE-2020-4006.

«Le FBI et le DHS recommandent aux fournisseurs de services de renforcer leurs systèmes de validation et de vérification des utilisateurs pour interdire l’utilisation abusive de leurs services», recommande l’avis, tout en exhortant également les entreprises à sécuriser leurs réseaux contre la compromission d’un logiciel de confiance.