NCSC et CISA publient de nouvelles informations sur l’ours confortable russe

Le National Cyber Security Centre (NCSC) du Royaume-Uni, aux côtés de partenaires de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et du FBI, a publié un nouvel avis détaillant les techniques, tactiques et procédures (TPT) utilisées par le groupe russe APT29 lié au renseignement, alias Cozy Bear.

L’avis couvre un certain nombre de TTPs que les agences comprennent le SVR – l’agence russe de renseignement étranger – à utiliser, et s’appuie sur l’attribution récente par le Royaume-Uni et les États-Unis des attaques à grande échelle liées à SolarWinds, ainsi que des avertissements émis l’année dernière sur son utilisation de deux nouveaux logiciels malveillants, WellMess et WellMail, contre les organisations travaillant sur les vaccins Covid-19.

« Le SVR est le service civil de renseignement extérieur de la Russie », a déclaré le NCSC. « Le groupe utilise une variété d’outils et de techniques pour cibler principalement les cibles gouvernementales, diplomatiques, de think-tank, de soins de santé et d’énergie à l’échelle mondiale pour le gain de renseignement.

« Le SVR est un cyber-acteur technologiquement sophistiqué et hautement capable. Elle a développé des capacités pour cibler des organisations à l’échelle mondiale, y compris au Royaume-Uni, aux États-Unis, en Europe, dans les États membres de l’OTAN et chez les voisins de la Russie.

À la suite du rapport de l’été dernier sur son ciblage de la recherche sur les vaccins, Cozy Bear semble maintenant avoir pivoté vers l’utilisation d’un certain nombre de nouveaux TTPs, dans une tentative probable d’éviter d’autres détections et l’assainissement, a déclaré le NCSC. Entre autres choses, le groupe a pris avec enthousiasme l’utilisation de Sliver, une open-source, plate-forme de simulation adversaire cross-platform / plate-forme d’équipe rouge.

« L’utilisation du cadre Sliver était probablement une tentative visant à assurer l’accès à un certain nombre de victimes existantes de WellMess et wellmail a été maintenue à la suite de l’exposition de ces capacités », a déclaré le NCSC. « Comme on l’a observé lors des incidents de SolarWinds, les opérateurs SVR utilisaient souvent une infrastructure de commandement et de contrôle distincte pour chaque victime de Sliver. »

Il est également plus fréquent – et plus rapide – d’utiliser les vulnérabilités nouvellement divulguées. Les services secrets occidentaux croient maintenant que Cozy Bear fait partie des groupes qui exploitent les vulnérabilités proxylogon largement signalées et dangereuses de Microsoft Exchange Server. Il a également été repéré exploitant des vulnérabilités communes dans les produits de Fortinet, Cisco, Oracle, Zimbra, Pulse Secure, Citrix, Kibana et F5 Networks – dont certains remontent à plus de trois ans.

Le NCSC a déclaré que les actions récentes du groupe démontrent clairement que la gestion et l’application des mises à jour de sécurité en priorité contribueraient largement à réduire la surface d’attaque dont Cozy Bear peut tirer parti.

Il a également réitéré son avis général selon qui, malgré la nature complexe et difficile à repérer des attaques de la chaîne d’approvisionnement (comme l’incident de SolarWinds), suivant les principes de base de cybersécurité, la mise en place de contrôles de sécurité réseau et la gestion efficace des privilèges des utilisateurs contribueront à arrêter les déplacements latéraux entre les hôtes si un acteur comme Cozy Bear se rend sur le réseau d’une organisation, et limitera l’efficacité de ses attaques.