Une campagne de cyberattaques, potentiellement orientée vers le cyberespionnage, met en évidence la nature de plus en plus sophistiquée des cybermenaces ciblant les sous-traitants de la défense aux États-Unis et ailleurs.
La campagne secrète, que les chercheurs de Securonix ont détectée et suivie sous le nom de STEEP#MAVERICK, a touché plusieurs fournisseurs d'armes en Europe ces derniers mois, y compris potentiellement un fournisseur du programme américain d'avions de combat F-35 Lightning II.
Ce qui rend la campagne remarquable selon le fournisseur de sécurité, c'est l'attention globale que l'attaquant a accordée à la sécurité des opérations (OpSec) et à la garantie que ses logiciels malveillants sont difficiles à détecter, difficiles à supprimer et difficiles à analyser.
Le programmeur de malware basé sur PowerShell utilisé dans les attaques a «présentait un éventail de tactiques intéressantes, une méthodologie de persistance, des contre-investigations et des couches et des couches d'obscurcissement pour cacher son code », a déclaré Securonix dans un rapport cette semaine.
Capacités peu courantes des logiciels malveillants
La campagne STEEP#MAVERICK semble avoir été lancée à la fin de l’été avec des attaques contre deux sous-traitants de la défense de premier plan en Europe. Comme de nombreuses campagnes, la chaîne d'attaque a commencé par un e-mail de spear phishing contenant un fichier compressé (.zip) avec un raccourci (.lnk) vers un document PDF censé décrire les avantages de l'entreprise. Securonix a décrit l'e-mail de phishing comme étant similaire à celui rencontré lors d'une campagne plus tôt cette année impliquant Le groupe menaçant nord-coréen APT37 (alias Konni).
Lorsque le fichier .lnk est exécuté, il déclenche ce que Securonix a décrit comme une « chaîne de stages assez grande et robuste », chacun écrit en PowerShell et comportant jusqu'à huit couches d'obscurcissement. Le logiciel malveillant dispose également de fonctionnalités étendues d'anti-criminalistique et de contre-débogage, notamment la surveillance d'une longue liste de processus pouvant être utilisés pour rechercher des comportements malveillants. Le malware est conçu pour désactiver la journalisation et contourner Windows Defender. Il utilise plusieurs techniques pour persister sur un système, notamment en s'intégrant dans le registre système, en s'intégrant en tant que tâche planifiée et en créant un raccourci de démarrage sur le système.
Un porte-parole de l'équipe de recherche sur les menaces de Securonix affirme que le nombre et la variété des contrôles anti-analyse et anti-surveillance effectués par les logiciels malveillants sont inhabituels. Il en va de même pour le grand nombre de couches d'obfuscation pour les charges utiles et les tentatives des logiciels malveillants pour remplacer ou générer de nouvelles charges utiles de stager de commande et de contrôle (C2) personnalisées en réponse aux tentatives d'analyse : « Certaines techniques d'obscurcissement, telles que l'utilisation de PowerShell get- Les alias pour exécuter [l'applet de commande Invoke-expression] sont très rarement vus.
Les activités malveillantes ont été réalisées en tenant compte de l'OpSec avec différents types de contrôles anti-analyse et de tentatives d'évasion tout au long de l'attaque, à un rythme opérationnel relativement élevé avec des charges utiles personnalisées injectées.
"Sur la base des détails de l'attaque, les autres organisations doivent accorder une attention particulière à la surveillance de leurs outils de sécurité", a déclaré le porte-parole. « Les organisations doivent s’assurer que les outils de sécurité fonctionnent comme prévu et éviter de s’appuyer sur un seul outil ou une seule technologie de sécurité pour détecter les menaces. »
Une cybermenace croissante
La campagne STEEP#MAVERICK n’est que la dernière d’une campagne croissante ciblant les entrepreneurs et les fournisseurs de la défense ces dernières années. Beaucoup de ces campagnes ont impliqué des acteurs soutenus par l’État opérant en Chine, en Russie, en Corée du Nord et dans d’autres pays.
En janvier, par exemple, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte concernant des acteurs parrainés par l'État russe ciblant des sous-traitants de la défense agréés (CDC) dans le cadre d'attaques conçues pour pour voler des informations et des technologies sensibles de défense américaine. L’alerte de la CISA décrit les attaques comme ciblant un large éventail de CDC, y compris ceux impliqués dans le développement de systèmes de combat, de technologies de renseignement et de surveillance, de développement d’armes et de missiles, ainsi que de conception de véhicules et d’avions de combat.
En février, des chercheurs de Palo Alto Networks ont signalé qu'au moins quatre sous-traitants américains de la défense avaient été ciblés dans le cadre d'une campagne visant à distribuer une porte dérobée sans fichier et sans socket appelée SockDetour. Les attaques faisaient partie d'une campagne plus large sur laquelle le fournisseur de sécurité avait enquêté avec la National Security Agency en 2021, impliquant un groupe persistant avancé chinois qui des sous-traitants de la défense ciblés et des organisations dans plusieurs autres secteurs.
Les entrepreneurs de la défense : un segment vulnérable
Aux inquiétudes suscitées par le volume croissant des cyberattaques s’ajoute la vulnérabilité relative de nombreux sous-traitants de la défense, même s’ils détiennent des secrets qui doivent être étroitement gardés.
Une étude récente menée par Black Kite sur les pratiques de sécurité des 100 plus grands sous-traitants américains de la défense a montré que près d'un tiers (32 %) sont vulnérable aux attaques de ransomwares. Cela est dû à des facteurs tels que des informations d'identification divulguées ou compromises et à des pratiques faibles dans des domaines tels que la gestion des informations d'identification, la sécurité des applications et la sécurité de la couche de sockets de sécurité/de la couche de transport.
Soixante-douze pour cent des personnes interrogées dans le rapport Black Kite ont été confrontées à au moins un incident impliquant une fuite d'identifiant.
Il pourrait y avoir de la lumière au bout du tunnel : le ministère américain de la Défense, en collaboration avec les acteurs du secteur, a développé un ensemble de bonnes pratiques en matière de cybersécurité que les sous-traitants militaires peuvent utiliser pour protéger les données sensibles. Dans le cadre du programme de certification du modèle de maturité de la cybersécurité du DoD, les entrepreneurs de la défense sont tenus de mettre en œuvre ces pratiques – et d'être certifiés comme les ayant – pour pouvoir vendre au gouvernement. Les mauvaises nouvelles? Le déploiement du programme a été retardé.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
