Les services de renseignement russes ciblent des victimes dans le monde entier lors de cyberattaques rapides

Les pirates informatiques russes mènent des campagnes de phishing ciblées dans au moins neuf pays répartis sur quatre continents. Leurs courriels vantent les affaires officielles du gouvernement et, en cas de succès, menacent non seulement les données organisationnelles sensibles, mais également les renseignements géopolitiques d’importance stratégique.

Un complot aussi sophistiqué et à plusieurs volets ne pouvait être fomenté que par un groupe aussi prolifique que Fancy Bear (alias APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 et bien d'autres encore), qu'IBM X-Force suit sous le nom d'ITG05 dans un nouveau rapport.

Outre les leurres convaincants sur le thème du gouvernement et trois nouvelles variantes de portes dérobées personnalisées, la campagne se démarque surtout par les informations qu'elle cible : Fancy Bear semble viser des informations très spécifiques utiles au gouvernement russe.

Leurres de phishing gouvernementaux

Fancy Bear a utilisé au moins 11 leurres uniques dans des campagnes ciblant des organisations en Argentine, en Ukraine, en Géorgie, en Biélorussie, au Kazakhstan, en Pologne, en Arménie, en Azerbaïdjan et aux États-Unis.

Les leurres ressemblent à des documents officiels associés à des gouvernements internationaux, couvrant des thèmes aussi vastes que la finance, les infrastructures critiques, les engagements des dirigeants, la cybersécurité, la sécurité maritime, les soins de santé et la production industrielle de défense.

Certains d’entre eux sont des documents légitimes et accessibles au public. Il est intéressant de noter que d’autres semblent être internes à des agences gouvernementales spécifiques, ce qui soulève la question de savoir comment Fancy Bear a mis la main dessus en premier lieu.

« X-Force ne sait pas si ITG05 a réussi à compromettre les organisations usurpées », note Claire Zaboeva, chasseuse de menaces pour IBM X-Force. "Comme il est possible qu'ITG05 ait exploité un accès non autorisé pour collecter des documents internes, nous avons informé toutes les parties imitées de l'activité avant la publication dans le cadre de notre politique de divulgation responsable."

Alternativement, Fancy Bear/ITGO5 peut avoir simplement imité de vrais fichiers. « Par exemple, certains des documents découverts comportent des erreurs notables, comme une faute d’orthographe des noms des principales parties dans ce qui semble être des contrats officiels du gouvernement », a-t-elle déclaré.

Un motif potentiel ?

Une autre qualité importante de ces leurres est qu’ils sont assez spécifiques.

Les exemples en anglais incluent un document de politique sur la cybersécurité d'une ONG géorgienne et un itinéraire de janvier détaillant la réunion et l'exercice Bell Buoy (XBB2024) de 24 pour les participants du groupe de travail sur le transport maritime dans l'océan Indien et Pacifique (PACIOSWG) de la marine américaine.

Et il y a les leurres sur le thème de la finance : un document biélorusse contenant des recommandations pour créer des conditions commerciales facilitant les entreprises interétatiques d'ici 2025, conformément à une initiative de l'Union économique eurasienne, un document de politique budgétaire du ministère argentin de l'Économie proposant des « lignes directrices stratégiques » pour aider le président avec la politique économique nationale, et plus encore dans ce sens.

"Il est probable que la collecte d'informations sensibles concernant les préoccupations budgétaires et la posture de sécurité des entités mondiales soit une cible hautement prioritaire étant donné l'espace de mission établi d'ITG05", a déclaré X-Force dans son rapport sur la campagne.

L’Argentine, par exemple, a récemment rejeté une invitation à rejoindre l’organisation commerciale des BRICS (Brésil, Russie, Inde, Chine, Afrique du Sud). Il est donc possible que l’ITG05 cherche à obtenir un accès susceptible de donner un aperçu des priorités du gouvernement argentin. ", a déclaré X-Force.

Activité post-exploitation

Outre la spécificité et l'apparence de légitimité, les attaquants utilisent une autre astuce psychologique pour piéger les victimes : ne leur présenter dans un premier temps qu'une version floue du document. Comme dans l’image ci-dessous, les destinataires peuvent voir juste assez de détails pour que ces documents semblent officiels et importants, mais pas assez pour éviter d’avoir à cliquer dessus.

Exemple de document de leurre ; Source : IBM

Lorsque les victimes sur des sites contrôlés par des attaquants cliquent pour afficher les documents leurres, elles téléchargent une porte dérobée Python appelée « Masepie ». Découvert pour la première fois en décembre, il est capable d'établir la persistance sur une machine Windows et de permettre le téléchargement et l'envoi de fichiers ainsi que l'exécution de commandes arbitraires.

L'un des fichiers que Masepie télécharge sur les machines infectées est « Oceanmap », un outil basé sur C# pour l'exécution de commandes via le protocole IMAP (Internet Message Access Protocol). La variante originale d'Oceanmap – pas celle utilisée ici – avait une fonctionnalité de vol d'informations qui a depuis été supprimée et transférée à « Steelhook », l'autre charge utile téléchargée par Masepie et associée à cette campagne.

Steelhook est un script PowerShell dont le travail consiste à exfiltrer les données de Google Chrome et Microsoft Edge via un webhook.

Ce qui est plus remarquable que ses logiciels malveillants, c'est l'immédiateté de l'action de Fancy Bear. Comme décrite en premier lieu par l'équipe ukrainienne d'intervention en cas d'urgence informatique (CERT-UA), les infections Fancy Bear dès la première heure après l'atterrissage sur une machine victime, téléchargent des portes dérobées et effectuent des reconnaissances et des mouvements latéraux via des hachages NTLMv2 volés pour des attaques par relais.

Les victimes potentielles doivent donc agir rapidement ou, mieux encore, se préparer à l’avance à leurs infections. Ils peuvent le faire en suivant la longue liste de recommandations d'IBM : surveillance des e-mails avec des URL servies par le fournisseur d'hébergement de Fancy Bear, FirstCloudIT, et du trafic IMAP suspect vers des serveurs inconnus, en corrigeant ses vulnérabilités privilégiées, telles que CVE-2024-21413, CVE-2024. -21410, CVE-2023-23397, CVE-2023-35636 – et bien plus encore.

« ITG05 continuera à tirer parti des attaques contre les gouvernements du monde et leur appareil politique pour fournir à la Russie un aperçu avancé des décisions politiques émergentes », ont conclu les chercheurs.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks