Hackers espions russes

Des cyber-agents affiliés au Service russe de renseignement extérieur (SVR) ont changé de tactique en réponse aux révélations publiques antérieures de leurs méthodes d’attaque, selon un nouveau conseil publié conjointement par les agences de renseignement du Royaume-Uni et des États-Unis vendredi.

“Les cyberopérateurs SVR semblent avoir réagi […] en modifiant leurs TTP afin d’éviter de nouveaux efforts de détection et de remédiation par les défenseurs du réseau, “le National Cyber ​​Security Center (NCSC) mentionné.

Celles-ci incluent le déploiement d’un outil open source appelé Mèche pour maintenir leur accès aux victimes compromises et tirer parti des failles ProxyLogon des serveurs Microsoft Exchange pour mener des activités de post-exploitation.

auditeur de mot de passe

Le développement fait suite à l’attribution publique d’acteurs liés à la SVR à l’attaque de la chaîne d’approvisionnement de SolarWinds le mois dernier. L’adversaire est également suivi sous différents noms, tels que Advanced Persistent Threat 29 (APT29), les Dukes, CozyBear et Yttrium.

L’attribution était également accompagnée d’un rapport technique détaillant cinq vulnérabilités que le groupe APT29 du SVR utilisait comme points d’accès initiaux pour infiltrer des entités américaines et étrangères.

<< Le SVR cible les organisations qui s'alignent sur les intérêts du renseignement étranger russe, y compris les objectifs gouvernementaux, des groupes de réflexion, des politiques et de l'énergie, ainsi que des cibles plus limitées dans le temps, par exemple. Vaccin contre le covid-19 ciblage en 2020 », a déclaré le NCSC.

Cela a été suivi par des directives distinctes le 26 avril qui éclairent davantage les techniques utilisées par le groupe pour orchestrer les intrusions, en comptant la pulvérisation de mots de passe, en exploitant les failles du jour zéro contre les appareils de réseau privé virtuel (par exemple, CVE-2019-19781) pour obtenir un réseau accéder et déployer un malware Golang appelé WELLMESS pour piller la propriété intellectuelle de plusieurs organisations impliquées dans le développement du vaccin COVID-19.

Selon le NCSC, sept autres vulnérabilités ont été ajoutées au mélange, tout en notant qu’APT29 est susceptible de militariser «rapidement» les vulnérabilités publiques récemment publiées qui pourraient permettre un accès initial à leurs cibles.

«Les défenseurs du réseau doivent veiller à ce que les correctifs de sécurité soient appliqués rapidement après les annonces CVE pour les produits qu’ils gèrent», a déclaré l’agence.



Leave a Reply