Le groupe de cyberespionnage russe lié au GRU APT28 vise les agences gouvernementales et les entreprises des pays occidentaux qui étaient impliqués dans l’expédition de l’aide à l’Ukraine depuis 2022.
Les agences de renseignement et de cybersécurité de 10 pays ont averti dans un avis conjoint qu’un groupe de cyberespionnage exploité par le Service de renseignement militaire russe, le GRU, cible la logistique et les sociétés informatiques depuis trois ans. Connu dans l’industrie de la sécurité sous le nom d’APT28 et Fancy Bear, l’acteur de menace a lancé des attaques contre ces cibles en utilisant une variété de tactiques d’accès initiales, notamment la pulvérisation de mot de passe, le spectre et l’exploitation des vulnérabilités dans les logiciels populaires.
«Comme les forces militaires russes n’ont pas atteint leurs objectifs militaires et que les pays occidentaux ont fourni une aide pour soutenir la défense territoriale de l’Ukraine, l’unité 26165 (de la 85e GTSSS russe) a élargi son ciblage d’entités logistiques et de sociétés technologiques impliquées dans la livraison de l’aide», indique le conseil. «Ces acteurs ont également ciblé des caméras connectées à Internet aux passages frontaliers ukrainiens pour surveiller et suivre les expéditions d’aide.»
Les objectifs comprenaient des dizaines d’organisations gouvernementales et d’entités commerciales impliquées dans le transport de marchandises en air, en mer et en rail. Cela comprenait les sociétés de l’industrie de la défense, les sociétés de navigation et de logistique, les agences de gestion du trafic aérien et les sociétés de services informatiques. Les pays ciblés étaient la Bulgarie, la République tchèque, la France, l’Allemagne, la Grèce, l’Italie, la Moldavie, les Pays-Bas, la Pologne, la Roumanie, la Slovaquie, l’Ukraine et les États-Unis.
Les attaques remontent à trois ans
Le ciblage de ces entités a commencé en février 2022 lorsque le rapport créant des agences a noté une augmentation des cyber-opérations par des acteurs de la menace russe, dont l’APT28. Après avoir compromis une cible, les attaquants ont effectué un ciblage de suivi de leurs partenaires commerciaux, exploitant les relations de confiance commerciale pour accéder.
«Les dirigeants et les défenseurs du réseau dans les entités logistiques et les sociétés technologiques devraient reconnaître la menace élevée du ciblage de l’unité 26165, augmentant la surveillance et la chasse aux menaces pour les TTP et les indicateurs connus du compromis (CIO) et les défenses du réseau de posture avec une présomption de ciblage», a déclaré l’avis.
Les pirates ont souvent compromis les petits routeurs de bureau / bureau à domicile (SOHO) à proximité de leurs cibles et les ont utilisés comme indicateurs de leur activité malveillante pour cacher leur véritable géolocation. Des réseaux d’anonymisation comme Tor et VPN ont également été utilisés.
Devinettes et de spectre d’accréditation
Les attaquants ont utilisé des techniques de devinettes d’identification brute-force, également connues sous le nom de pulvérisation de mot de passe, pour obtenir un accès initial aux comptes. Cela a été complété par des e-mails de phishing ciblés qui ont ordonné aux destinataires de fausses pages de connexion pour les entités gouvernementales ou les fournisseurs de courriels de cloud occidentaux. Ces pages de phishing ont été stockées sur des services d’hébergement Web gratuits ou sur des routeurs compromis.
Les pirates ont également envoyé des e-mails de spectre avec des pièces jointes malveillantes qui distribuaient des programmes de logiciels malveillants connus sous le nom de Headlace et Masepie. Les cibles en Ukraine ont également reçu des variantes de logiciels malveillants supplémentaires appelés OceanMap et Steelhook. Les attaquants ont souvent utilisé le détournement de l’ordre de recherche DLL pour exécuter ces programmes malveillants sur des ordinateurs. Il s’agit de livrer un programme légitime avec une DLL malveillante que le code du programme cherche à exécuter automatiquement.
Exploitation des vulnérabilités connues
APT28 a également exploité les vulnérabilités logicielles pour obtenir un accès initial. Par exemple, les attaquants ont envoyé des invitations de calendrier Outlook spécifiquement conçues qui ont exploité la vulnérabilité des perspectives CVE-2023-23397 pour voler des hachages et des informations d’identification NTLM.
Les défauts CVE-2020-12641, CVE-2020-35730 et CVE-2021-44026 dans RoundCube, un progiciel de messagerie open source populaire, ont été exploités pour exécuter des commandes de shell arbitraires sur les serveurs. Pendant ce temps, la vulnérabilité CVE-2023-38831 Winrar a été exploitée pour exécuter du code arbitraire sur les ordinateurs lorsque les utilisateurs ont tenté d’ouvrir des archives spécifiquement conçues.
Mouvement latéral et espionnage des e-mails
Une fois qu’ils ont compromis un système cible, les attaquants ont tenté d’effectuer un mouvement latéral à travers le réseau en déversant les informations d’identification et en utilisant des outils qui existaient déjà sur les systèmes ou qui sont souvent utilisés pour l’administration du système, une technique connue sous le nom de vie. Cela comprenait le protocole de bureau distant (RDP), PowerShell, les commandes de services de domaine Active Directory et les outils open-source comme Impacket et Psexec.
« Après un compromis initial utilisant l’une des techniques ci-dessus, les acteurs de l’unité 26165 ont effectué une reconnaissance des informations de contact pour identifier des cibles supplémentaires dans des positions clés », selon l’avis. «Les acteurs ont également mené la reconnaissance du Département de la cybersécurité, des personnes responsables de la coordination des transports et d’autres sociétés coopérant avec l’entité victime.»
Les attaquants ont ciblé les utilisateurs de l’Office 365 et les serveurs de messagerie pour configurer la collection de diffusion persistante des organisations compromises. Cela impliquait de manipuler les autorisations de boîte aux lettres et d’inscrire les utilisateurs dans l’authentification multi-facteurs avec les appareils qu’ils contrôlaient.
Le type d’informations qu’ils étaient après inclus des détails sur les envois vers l’Ukraine, tels que le point de départ, la destination, les numéros de train / avion / navire, les numéros d’enregistrement des conteneurs, les itinéraires de voyage et le contenu du fret.
«Dans au moins un cas, les acteurs ont tenté d’utiliser le phishing vocal pour accéder à des comptes privilégiés en usurpant l’identité du personnel informatique.»
Les attaquants ont abusé des protocoles d’échange de données du serveur et des API tels que les services Web Exchange (EWS) et le protocole d’accès aux messages Internet (IMAP) pour exfiltrer les données des serveurs de messagerie. Par exemple, des requêtes EWS périodiques ont été utilisées pour collecter de nouveaux e-mails.
« En plus de cibler les entités logistiques, les acteurs de l’unité 26165 ont probablement utilisé l’accès aux caméras privées dans des emplacements clés, tels que les passages à niveau proche, les installations militaires et les gares, pour suivre le mouvement des matériaux en Ukraine », selon l’avis. «Les acteurs ont également utilisé des services municipaux légitimes, tels que les cames de circulation.»
L’avis conjoint contient des indicateurs étendus de compromis tels que les noms de fichiers, les adresses IP, les adresses e-mail, les commandes, les scripts et les services publics légitimes. Ceux-ci pourraient être utilisés pour la chasse aux menaces et la détection des compromis, mais les agences avertissent que certains de ces CIO pourraient avoir changé car APT28 a accès à une infrastructure et à des ressources approfondies.
L’avis comprend également des règles de détection et des recommandations pour les modifications d’architecture et de configuration des systèmes, la gestion de l’identité et de l’accès et les étapes de durcissement pour les caméras IP.
