Des chercheurs font la lumière sur l’activité de l’APT29 lors de l’attaque de SolarWinds

Les chercheurs en menaces de l’unité de renseignement Atlas de RiskIQ ont glané un nouvel aperçu potentiellement important de l’infrastructure et des tactiques utilisées dans la campagne de cyberespionnage SolarWinds à partir de la télémétrie réseau de l’entreprise.

Les chercheurs ont combiné le graphique de l’intelligence internet de l’entreprise avec des modèles dérivés d’indicateurs de compromis (Ioc) qui avaient déjà été signalés à la surface 56% plus d’infrastructure réseau appartenant à des attaquants, et plus de 18 précédemment manqué de commande et de contrôle (C2) serveurs.

Les attentats de SolarWinds, qui ont été découverts pour la première fois en décembre 2020, ont été attribués avec une grande confiance au groupe cozy bear de l’unité russe de renseignement étranger SVR, ou groupe APT29.

Plus tôt en avril, le président américain Joe Biden a annoncé de nouvelles sanctions contre Moscou à la suite de ces attaques, qui visaient principalement les réseaux d’agences gouvernementales américaines, mais ont causé des dommages collatéraux considérables.

RiskIQ directeur de l’intelligence de menace Kevin Livelli a déclaré que les résultats sont venus à la lumière après l’équipe atlas a noté quelques modèles distinctifs dans les réponses bannière HTTP des domaines et des adresses IP associées aux attaques. Ils ont ensuite corrélé les domaines et les adresses IP qui ont retourné des modèles spécifiques de réponse aux bannières avec les certificats SSL, les périodes d’activité et les emplacements d’hébergement à travers la deuxième étape ciblée de la campagne pour trouver la nouvelle infrastructure.

M. Livelli a déclaré que cela éclairait davantage les tactiques, les techniques et les procédures utilisées par les acteurs de la menace à l’origine de la campagne, y compris les tactiques d’évitement et l’évitement des modes d’activité pour jeter leurs poursuivants hors de l’odeur – en évitant les TPT utilisés par l’APT29, le groupe a veillé à ce que les chercheurs de menaces utilisaient une variété de noms disparates pour s’y référer – parmi eux UNC2452 , StellarParticle, Nobellium et Dark Halo.

« L’identification de l’empreinte de l’infrastructure d’attaque d’un acteur de la menace implique généralement de corréler les adresses IP et les domaines avec des campagnes connues pour détecter les modèles », a déclaré Livelli. « Toutefois, notre analyse montre que le groupe a pris des mesures considérables pour jeter les chercheurs hors de leur piste.

« Les chercheurs ou les produits à l’écoute de la détection de l’activité connue d’APT29 ne reconnaîtraient pas la campagne telle qu’elle se déroule. Ils auraient tout aussi du mal à suivre la piste de la campagne une fois qu’ils l’auraient découverte, c’est pourquoi nous en savions si peu sur les dernières étapes de la campagne SolarWinds.

Certaines des tactiques d’obscurcissement utilisées par APT29 comprenaient l’achat de domaines par l’intermédiaire de tiers et aux enchères pour obscurcir les informations de propriété, et le rachat de domaines expirés à des moments différents; l’hébergement de son infrastructure de première et deuxième étapes entièrement, et surtout, aux États-Unis; concevoir les logiciels malveillants utilisés à chaque étape pour apparaître très différents; et l’ingénierie de l’implant de première étape pour appeler à ses serveurs C2 avec une nervosité aléatoire après une quinzaine de jours, pour échapper à l’enregistrement des événements.

RiskIQ a déclaré que la nouvelle infrastructure Cozy Bear qu’ils ont trouvé signifie que les enquêteurs peuvent maintenant bénéficier d’une « vue plus complexe et riche en contexte » des attaques SolarWinds. Plus d’informations, y compris les CCI, sont disponibles ici.

Les découvertes sont importantes car elles élargissent la portée des enquêtes en cours sur les attaques solarwinds, et pourraient très bien conduire à la découverte de cibles plus compromises. Les autorités américaines ont été informées des conclusions de l’équipe.