Les coupables russes de SolarWinds lancent un nouveau barrage de cyberattaques d'espionnage

Dans le cadre de leur invasion continue de l'Ukraine, les services de renseignement russes ont de nouveau fait appel aux services du groupe de hackers Nobelium/APT29, cette fois pour espionner les ministères des Affaires étrangères et les diplomates des États membres de l'OTAN, ainsi que d'autres cibles dans l'Union européenne et en Afrique. .

Le moment coïncide également avec une série d'attaques contre des infrastructures canadiennes, également soupçonnées d'être liées à la Russie.

Le service de contre-espionnage militaire polonais et l'équipe du CERT en Pologne ont émis une alerte le 13 avril, accompagnée d'indicateurs de compromission, avertissant les cibles potentielles de la campagne d'espionnage de la menace. Nobelium, car le groupe est désigné par Microsoft, également nommé APT29 par Mandiant, n'est pas nouveau dans le jeu de l'espionnage des États-nations, le groupe était à l'origine du tristement célèbre Attaque de la chaîne d'approvisionnement de SolarWinds il y a bientôt trois ans.

Maintenant, APT29 est de retour avec un tout nouvel ensemble d'outils malveillants et des ordres de marche signalés pour infiltrer le corps diplomatique des pays soutenant l'Ukraine, ont expliqué l'armée polonaise et l'alerte CERT.

APT29 est de retour avec de nouvelles commandes

Dans chaque cas, la menace persistante avancée (APT) commence son attaque par un e-mail de harponnage bien conçu, selon l'alerte polonaise.

"Des e-mails se faisant passer pour des ambassades de pays européens ont été envoyés à certains membres du personnel des postes diplomatiques", ont expliqué les autorités. "La correspondance contenait une invitation à une réunion ou à travailler ensemble sur des documents."

Le message demanderait alors au destinataire de cliquer sur un lien ou de télécharger un PDF pour accéder au calendrier de l'ambassadeur, ou d'obtenir les détails de la réunion - les deux enverraient les cibles vers un site malveillant chargé du "script de signature" du groupe de menaces, que le rapport identifie comme « Envyscout ».

"L't utilise la technique de contrebande HTML - par laquelle un fichier malveillant placé sur la page est décodé à l'aide de JavaScript lorsque la page est ouverte, puis téléchargé sur l'appareil de la victime », ont ajouté les autorités polonaises. "Cela rend le fichier malveillant plus difficile à détecter côté serveur où il est stocké."

Le site malveillant envoie également aux cibles un message les rassurant qu'elles ont téléchargé le bon fichier, indique l'alerte.

"Les attaques de harponnage réussissent lorsque les communications sont bien écrites, utilisent des informations personnelles pour démontrer la familiarité avec la cible et semblent provenir d'une source légitime", a déclaré Patrick Harr, PDG de SlashNext, à Dark Reading à propos de la campagne. "Cette campagne d'espionnage répond à tous les critères de réussite."

UN email d'hameçonnage, par exemple, se sont fait passer pour l'ambassade de Pologne et, fait intéressant, tout au long de la campagne observée, l'outil Envyscout a été modifié trois fois avec des améliorations d'obscurcissement, ont noté les autorités polonaises.

Une fois compromis, le groupe utilise des versions modifiées du téléchargeur Snowyamber, Halfrig, qui fonctionne Grève de cobalt en tant que code intégré, et Quarterrig, qui partage le code avec Halfrig, a indiqué l'alerte polonaise.

"Nous constatons une augmentation de ces attaques où le mauvais acteur utilise plusieurs étapes dans une campagne pour ajuster et améliorer le succès", ajoute Harr. "Ils utilisent des techniques d'automatisation et d'apprentissage automatique pour identifier ce qui échappe à la détection et modifier les attaques ultérieures pour améliorer le succès."
Selon les autorités polonaises de la cybersécurité, les gouvernements, les diplomates, les organisations internationales et les organisations non gouvernementales (ONG) devraient être en état d'alerte pour cela et d'autres efforts d'espionnage russes.

"Le service de contre-espionnage militaire et le CERT.PL recommandent vivement à toutes les entités susceptibles de se trouver dans la zone d'intérêt de l'acteur de mettre en œuvre des changements de configuration pour perturber le mécanisme de livraison qui a été utilisé dans la campagne décrite", ont déclaré des responsables.

Attaques liées à la Russie contre l'infrastructure canadienne

Outre les avertissements des responsables polonais de la cybersécurité, au cours de la semaine dernière, le premier ministre du Canada, Justin Trudeau, a fait des déclarations publiques au sujet d'une récente vague de Cyberattaques liées à la Russie visant l'infrastructure canadienne, y compris attaques par déni de service sur Hydro-Québec, compagnie d'électricité, le site Web du bureau de Trudeau, le port de Québecet une Banque Laurentienne. Trudeau a déclaré que les cyberattaques étaient liées au soutien du Canada à l'Ukraine.

"Quelques attaques par déni de service sur des sites Web gouvernementaux, les faisant tomber pendant quelques heures, ne nous feront pas repenser notre position sans équivoque de faire tout ce qu'il faut aussi longtemps qu'il le faudra pour soutenir l'Ukraine », a déclaré Trudeau. , selon les rapports.

Le patron du Centre canadien pour la cybersécurité, Sami Khoury, a déclaré lors d'une conférence de presse la semaine dernière que bien qu'il n'y ait eu aucun dommage causé à l'infrastructure du Canada, "la menace est réelle". accès aux Canadiens, fournir des soins de santé ou exploiter de manière générale l'un des services dont les Canadiens ne peuvent se passer, vous devez protéger vos systèmes », a déclaré Khoury. « Surveillez vos réseaux. Appliquez des mesures d'atténuation.

Les efforts de la Russie en matière de cybercriminalité font rage

Alors que l'invasion de l'Ukraine par la Russie en est à sa deuxième année, Mike Parkin de Vulcan Cyber ​​affirme que les récentes campagnes ne devraient guère être une surprise.

"La communauté de la cybersécurité a observé les retombées et les dommages collatéraux du conflit en Ukraine depuis qu'il a commencé, et nous savons que les acteurs de la menace russes et pro-russes étaient actifs contre des cibles occidentales", a-t-il ajouté. dit Parkine. "Compte tenu des niveaux d'activité cybercriminelle auxquels nous étions déjà confrontés, [ce ne sont] que de nouveaux outils et de nouvelles cibles - et un rappel pour nous assurer que nos défenses sont à jour et correctement configurées.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks