Évolution d’APT29

Qui est APT29 ?

APT29 est un groupe menaçant attribué au Service de renseignement extérieur russe (SVR). Ils opèrent depuis au moins 2008, ciblant souvent les réseaux gouvernementaux en Europe et dans les pays membres de l’OTAN, les instituts de recherche et les groupes de réflexion. APT29 aurait compromis le Comité national démocrate à partir de l’été 2015. En avril 2021, les gouvernements américain et britannique ont attribué la compromis SolarWinds au SVR ; les déclarations publiques comprenaient des citations d’ APT29 , également connu sous les noms de BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anciennement Nobelium) et The Dukes, est considéré comme étant affilié au Service de renseignement étranger (SVR) de la Fédération de Russie.

Les tactiques du groupe APT29 toujours plus puissantes.

À mesure que les organisations avancent dans la modernisation de leurs systèmes et optent pour le cloud, le SVR s’ajuste à ces nouvelles réalités opérationnelles.

Ils doivent dépasser les méthodes conventionnelles d’accès initial, telles que l’exploitation de failles logicielles dans les réseaux locaux, pour viser directement les services cloud.

Pour infiltrer la majeure partie du réseau cloud d’une cible, les attaquants doivent préalablement s’identifier auprès du fournisseur de services cloud. Bloquer cet accès préliminaire peut entraver les tentatives du SVR de compromettre son objectif. Contrairement aux systèmes locaux, où une plus grande partie du réseau peut être vulnérable aux attaques.

Ce qui suit détaille la manière dont les opérateurs du SVR s’adaptent pour continuer leurs cyberopérations visant à collecter des renseignements.

Ces TTP (Tactiques, Techniques et Procédures) ont été constatés durant les 12 derniers mois.

Accès par le biais de services et de comptes inactifs.

Les campagnes antérieures du SVR montrent l’utilisation réussie du forçage brut et de l’attaque par pulvérisation de mots de passe pour accéder aux comptes de service.

Ces comptes sont typiquement destinés à la gestion d’applications et de services sans intervention humaine directe, ce qui les rend vulnérables faute de protection par authentification multifacteur (MFA), augmentant ainsi les risques de compromission.

Ces comptes de service, souvent dotés de privilèges élevés, offrent aux attaquants un accès privilégié initial pour lancer d’autres attaques.

Les campagnes du SVR ont aussi visé des comptes inactifs appartenant à d’anciens employés, toujours présents dans les systèmes des organisations ciblées.

Après une réinitialisation forcée des mots de passe suite à un incident, il a été observé des acteurs du SVR accédant à des comptes inactifs en suivant les procédures de réinitialisation, récupérant ainsi l’accès malgré les mesures de réponse à l’incident.

Authentification basée sur des jetons dans le cloud

L’accès aux comptes est généralement sécurisé par un nom d’utilisateur et un mot de passe ou par des jetons d’accès émis par le système.

Le NCSC et ses partenaires ont remarqué l’utilisation de jetons par le SVR pour accéder aux comptes ciblés sans nécessiter de mot de passe.

L’enregistrement de nouveaux dispositifs dans le cloud

Le SVR a réussi à éviter l’authentification par mot de passe via des attaques de pulvérisation de mots de passe et en réutilisant des identifiants. Ils ont également contourné la MFA en exploitant la technique du « bombardement MFA », incitant la victime à accepter de manière répétée des demandes d’authentification jusqu’à ce qu’elle cède.

En s’enregistrant comme nouvel appareil sur le cloud, ils parviennent à accéder au réseau si aucune politique de vérification d’appareil n’est en place.

Utilisation de proxys résidentiels

Face à l’amélioration des défenses réseau, le SVR a adopté l’usage de proxys résidentiels pour masquer leurs activités. Ces proxys, semblant émaner de FAI résidentiels, compliquent la distinction entre trafic légitime et malveillant, mettant en évidence l’importance d’une surveillance diversifiée pour détecter les activités suspectes.

Conclusion

Ce rapport souligne que des pratiques de cybersécurité solides peuvent contrer des menaces avancées telles que le SVR. Pour les entités s’étant déplacées vers le cloud, la défense initiale contre le SVR repose sur la prévention de leurs TTP d’accès. Les recommandations de ce document renforcent la position des organisations face à de telles menaces.

Une fois l’accès initial établi, le SVR peut déployer des techniques post-compromission avancées. D’où l’importance cruciale de bloquer ces accès initiaux.

CISA a également produit des conseils dans le cadre de son projet Secure Cloud Business Applications (SCuBA) , conçu pour protéger les actifs stockés dans les environnements cloud.

Certains des TTP répertoriés dans ce rapport, tels que les proxys résidentiels et l’exploitation des comptes système, sont semblables à ceux signalés en janvier 2024 par Microsoft .

Cet article a été compilé par webmaster67  dans le cadre du cadre MITRE ATT&CK®, une base de connaissances accessible à l’échelle mondiale sur les tactiques et techniques de l’adversaire établie sur des observations du monde réel.

Atténuation et détection

Un certain nombre de mesures d’atténuation seront utiles pour se défendre contre l’activité décrite dans cet article :

• Utilisez l’authentification multifacteur (/authentification à 2 facteurs/vérification en deux étapes) pour réduire l’impact des compromissions de mots de passe.
• Les comptes qui ne peuvent pas utiliser 2SV doivent avoir des mots de passe forts et uniques. Les comptes utilisateur et système doivent être désactivés lorsqu’ils ne sont plus nécessaires, avec un processus de « rejoins, déménagements et départs » en place et des examens réguliers pour identifier et désactiver les comptes inactifs/dormants.
• Les comptes système et de service doivent mettre en œuvre le principe du moindre privilège, fournissant un accès étroitement limité aux ressources nécessaires au fonctionnement du service.
• Des comptes de service Canary doivent être créés. Ils semblent être des comptes de service valides, mais ne sont jamais utilisés par des services légitimes. La surveillance et l’alerte sur l’utilisation de ces comptes fournissent un signal de confiance élevé indiquant qu’ils sont utilisés de manière illégitime et doivent faire l’objet d’une enquête urgente.
• La durée de vie des sessions doit être aussi courte que possible afin de réduire la fenêtre d’opportunité pour un adversaire d’utiliser des jetons de session volés. Cela doit être associé à une méthode d’authentification appropriée qui établit un équilibre entre l’authentification utilisateur régulière et l’expérience utilisateur.
• Assurez-vous que les politiques d’inscription des appareils sont configurées pour autoriser uniquement l’inscription des appareils autorisés. Utilisez l’inscription sans contact lorsque cela est possible, ou si l’auto-inscription est requise, utilisez une forme forte de 2SV qui résiste au phishing et au bombardement rapide. Il convient d’empêcher la (ré)inscription des anciens appareils lorsqu’ils ne sont plus nécessaires.
• Tenez compte d’une variété de sources d’informations telles que les événements d’application et les journaux basés sur l’hôte pour vous aider à prévenir, détecter et enquêter sur les comportements malveillants potentiels. Concentrez-vous sur les sources d’informations et les indicateurs de compromission qui présentent un meilleur taux de faux positifs. Par exemple, rechercher des modifications dans les chaînes de l’agent utilisateur qui pourraient indiquer un détournement de session peut être plus efficace que d’essayer d’identifier les connexions à partir d’adresse IP suspectes.