power lines water tower critical infrastructure essential security

Le groupe russe APT se tourne vers les mauvaises configurations des appareils en périphérie du réseau

Lucas Morel

Les groupes parrainés par l’État ciblent les fournisseurs d’infrastructures critiques en Amérique du Nord et en Europe.

Un groupe de cyberespionnage parrainé par l’État russe cible les sociétés énergétiques et les fournisseurs d’infrastructures critiques en exploitant les erreurs de configuration des appareils en périphérie du réseau.

Le groupe opère depuis au moins 2021 et a déjà exploité des erreurs de configuration d’appareils, mais également des vulnérabilités connues telles que CVE-2022-26318 dans les appliances WatchGuard Firebox et XTM, CVE-2021-26084 et CVE-2023-22518 dans Confluence ou CVE-2023-2753 dans Veeam Backup.

Cependant, selon les données télémétriques recueillies par Amazon Threat Intelligence, le groupe s’est fortement concentré cette année sur le ciblage des erreurs de configuration, en s’éloignant des vulnérabilités de jour zéro ou de jour N. Les principales cibles ont été les routeurs et infrastructures de routage d’entreprise, les concentrateurs VPN et les passerelles d’accès à distance, les appareils de gestion de réseau, les plates-formes de collaboration et wiki et les systèmes de gestion de projet basés sur le cloud.

« Cette adaptation tactique permet d’obtenir les mêmes résultats opérationnels, de collecte d’informations d’identification et de mouvement latéral vers les services et infrastructures en ligne des organisations victimes, tout en réduisant l’exposition de l’acteur et les dépenses en ressources », ont découvert les chercheurs.

Selon la télémétrie d’Amazon, l’infrastructure du groupe chevauche celle de Sandworm, un groupe également connu sous le nom d’APT44 et Seashell Blizzard, associé à l’agence de renseignement militaire russe, le GRU. Il existe également des recoupements avec un groupe dont l’activité a été documentée dans le passé par la société de sécurité Bitdefender, sous le nom de Curly COMrades.

Cependant, il pourrait s’agir de sous-groupes au sein du GRU qui travaillent ensemble, celui suivi par Amazon gérant l’accès initial et les mouvements latéraux et Curly COMrades gérant la persistance de l’hôte via ses implants de logiciels malveillants personnalisés CurlyShell et CurlCat.

Amazon a détecté des attaques contre les appareils périphériques du réseau client hébergés sur des instances AWS EC2 avec des adresses IP contrôlées par des acteurs établissant des connexions persistantes qui indiquent un accès interactif aux appareils compromis.

Récolte des informations d’identification

Les chercheurs ont également observé des attaques par répétition d’informations d’identification contre d’autres services en ligne des victimes, utilisant des informations d’identification de domaine volées à la suite de compromissions de périphériques en périphérie du réseau. Cela indique que les attaquants sont susceptibles de récolter des informations d’identification en exploitant les capacités de capture et d’analyse du trafic des appareils compromis.

« L’intervalle de temps entre la compromission de l’appareil et les tentatives d’authentification auprès des services aux victimes suggère une collecte passive plutôt qu’un vol actif d’informations d’identification », ont découvert les chercheurs.

L’interception du trafic réseau est conforme au savoir-faire connu de Sandworm et le ciblage des appareils périphériques du réseau permet aux attaquants d’intercepter les informations d’identification en transit.

Comment les fournisseurs d’infrastructures critiques peuvent-ils se défendre contre cette menace ?

Le groupe se concentre fortement sur le secteur de l’énergie, avec des victimes parmi lesquelles des sociétés de services publics d’électricité, des fournisseurs d’énergie et même des MSSP ayant des clients dans le secteur de l’énergie. Cependant, il cible également les fournisseurs de technologies et de services cloud, ainsi que les entreprises de télécommunications dans plusieurs régions.

L’équipe Amazon Threat Intelligence conseille aux organisations d’auditer leurs appareils périphériques de réseau pour détecter les fichiers ou utilitaires de capture de paquets qui ne devraient pas être présents, de revoir la configuration de leurs appareils, d’isoler les interfaces de gestion et de mettre en œuvre une authentification multifacteur.

Les entreprises doivent également examiner les journaux d’authentification et surveiller les tentatives d’authentification à partir d’emplacements géographiques inattendus. La détection des anomalies pour les modèles d’authentification doit être mise en œuvre pour tous les services en ligne et l’utilisation de protocoles en texte brut susceptibles d’exposer les informations d’identification en transit doit être auditée.

Le rapport Amazon comprend des indicateurs de compromission associés à cette campagne d’attaque ainsi que des recommandations de sécurité spécifiques aux environnements AWS.

Infrastructure critiqueSécurité du réseauSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway