La cyberattaque tentaculaire de SolarWinds qui a été révélée en décembre dernier était connue pour sa sophistication dans l’étendue des tactiques utilisées pour s’infiltrer et persister dans l’infrastructure cible, à tel point que Microsoft a continué à appeler l’acteur de la menace derrière la campagne “des opérateurs habiles et méthodiques. qui suivent les meilleures pratiques de sécurité des opérations (OpSec) pour minimiser les traces, rester sous le radar et éviter la détection. “

Mais nouvelle recherche publié aujourd’hui montre que l’acteur de la menace a soigneusement planifié chaque étape de l’opération pour «éviter de créer le type de modèles qui rendent leur suivi simple», rendant ainsi délibérément l’analyse médico-légale difficile.

En analysant les données de télémétrie associées à des indicateurs de compromission déjà publiés, RiskIQ a déclaré avoir identifié un ensemble supplémentaire de 18 serveurs avec une grande confiance qui communiquaient probablement avec les charges utiles secondaires ciblées de Cobalt Strike fournies via les logiciels malveillants TEARDROP et RAINDROP, ce qui représente une augmentation de 56%. l’empreinte de commandement et de contrôle connue de l’attaquant.

auditeur de mot de passe

Les «modèles cachés» ont été découverts grâce à une analyse des certificats SSL utilisés par le groupe.

Le développement survient une semaine après que les agences de renseignement américaines ont officiellement attribué le piratage de la chaîne d’approvisionnement au service russe de renseignement extérieur (SVR). Le compromis de la chaîne d’approvisionnement des logiciels SolarWinds aurait donné à APT29 (alias Cozy Bear ou The Dukes) la capacité d’espionner à distance ou potentiellement de perturber plus de 16000 systèmes informatiques dans le monde, selon le gouvernement américain.

Les attaques sont suivies par la communauté de la cybersécurité sous divers noms, notamment UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unité 42), StellarParticle (Crowdstrike) et Dark Halo (Volexity), citant des différences dans les tactiques, les techniques, et les procédures (TTP) employées par l’adversaire avec celles des profils d’attaquants connus, en comptant APT29.

«Les chercheurs ou les produits adaptés à la détection de l’activité APT29 connue ne parviendraient pas à reconnaître la campagne telle qu’elle se déroulait», a déclaré Kevin Livelli, directeur du renseignement sur les menaces de RiskIQ. “Ils auraient tout aussi de la difficulté à suivre la piste de la campagne une fois qu’ils l’ont découverte, c’est pourquoi nous en savions si peu sur les dernières étapes de la campagne SolarWinds.”

Plus tôt cette année, le fabricant de Windows a noté comment les attaquants se sont donné beaucoup de mal pour s’assurer que la porte dérobée initiale (SUNBURST alias Solorigate) et les implants post-compromis (TEARDROP et RAINDROP) restent séparés autant que possible afin d’entraver les efforts de repérage. leur activité malveillante. Cela a été fait pour qu’au cas où les implants Cobalt Strike soient découverts sur les réseaux de victimes; il ne révélerait pas le binaire SolarWinds compromis et l’attaque de la chaîne d’approvisionnement qui a conduit à son déploiement en premier lieu.

auditeur de mot de passe

Mais selon RiskIQ, ce n’est pas la seule étape que l’acteur de l’APT29 a franchie pour couvrir ses pistes, qui comprenaient –

  • Achat de domaines via des revendeurs tiers et lors de ventes aux enchères de domaines sous différents noms, dans le but de masquer les informations de propriété et de racheter des domaines expirés jusqu’ici détenus par des organisations légitimes sur une période de plusieurs années.
  • Hébergement de l’infrastructure d’attaque du premier étage (SUNBURST) entièrement aux États-Unis, du deuxième étage (TEARDROP et RAINDROP) principalement aux États-Unis et du troisième étage (GOLDMAX aka SUNSHUTTLE) principalement dans les pays étrangers.
  • Concevoir un code d’attaque de manière à ce qu’aucun logiciel malveillant déployé au cours des étapes successives de la chaîne d’infection ne se ressemble, et
  • Concevoir la porte dérobée SUNBURST de première étape pour balayer ses serveurs de commande et de contrôle (C2) avec une gigue aléatoire après une période de deux semaines, dans une tentative probable de survivre à la durée de vie typique de la journalisation des événements sur la plupart des détections de points d’extrémité basées sur l’hôte et Réponse (EDR) plates-formes.

«L’identification de l’empreinte de l’infrastructure d’attaque d’un acteur de la menace implique généralement la corrélation des adresses IP et des domaines avec des campagnes connues pour détecter des modèles», a déclaré Livelli.

“Cependant, notre analyse montre que le groupe a pris des mesures extensives pour éloigner les chercheurs de leur piste”, suggérant que l’acteur de la menace a pris des mesures importantes pour éviter de créer de tels modèles.



Leave a Reply