S'inscrire

Cybersécurité - 04/05/2024

Une faille de Microsoft Outlook exploitée par l’APT28 russe pour pirater des entités tchèques et allemandes

La Tchéquie et l’Allemagne ont révélé vendredi qu’elles étaient la cible d’une campagne de cyberespionnage à long terme menée par l’acteur étatique lié à la Russie connu sous le nom d’ APT28 , suscitant la condamnation de l’Union européenne (UE), de l’Organisation du Traité de l’Atlantique Nord (OTAN). ), le Royaume-Uni et les États-Unis

Le ministère des Affaires étrangères de la République tchèque (MAE) a déclaré dans un communiqué que certaines entités anonymes du pays avaient été attaquées en utilisant une faille de sécurité dans Microsoft Outlook révélée au début de l’année dernière.

“Les cyberattaques ciblant des entités politiques, des institutions étatiques et des infrastructures critiques constituent non seulement une menace pour la sécurité nationale, mais perturbent également les processus démocratiques sur lesquels repose notre société libre”, a déclaré le ministère des Affaires étrangères .

La faille de sécurité en question est CVE-2023-23397 , un bug d’élévation de privilèges critique désormais corrigé dans Outlook qui pourrait permettre à un adversaire d’accéder aux hachages Net-NTLMv2 et de les utiliser ensuite pour s’authentifier au moyen d’une attaque par relais.

Le gouvernement fédéral allemand (alias Bundesregierung) a attribué l’auteur de la menace à une cyberattaque visant le comité exécutif du parti social-démocrate utilisant la même vulnérabilité Outlook pendant une « période relativement longue », lui permettant de « compromettre de nombreux comptes de messagerie ».

Certains des secteurs industriels ciblés dans le cadre de la campagne comprennent la logistique, l’armement, l’industrie aérienne et spatiale, les services informatiques, les fondations et les associations situées en Allemagne, en Ukraine et en Europe, la Bundesregierung impliquant également le groupe dans l’attaque de 2015 contre le parlement fédéral allemand (Bundestag).

APT28, considéré comme lié à l’unité militaire 26165 de l’agence de renseignement militaire de la Fédération de Russie GRU, est également suivi par la communauté de la cybersécurité au sens large sous les noms de BlueDelta, Fancy Bear, Forest Blizzard (anciennement Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy et TA422.

À la fin du mois dernier, Microsoft a attribué le groupe de piratage à l’exploitation d’un composant Microsoft Windows Print Spooler (CVE-2022-38028, score CVSS : 7,8) comme un jour zéro pour diffuser un malware personnalisé jusqu’alors inconnu appelé GooseEgg pour infiltrer les pays ukrainiens et occidentaux. Organisations gouvernementales, non gouvernementales, européennes et nord-américaines du secteur de l’éducation et des transports.

L’OTAN a déclaré que les actions hybrides de la Russie “constituent une menace pour la sécurité des Alliés”. Le Conseil de l’Union européenne est également intervenu, déclarant que “la cyber-campagne malveillante montre le comportement irresponsable continu de la Russie dans le cyberespace”.

“Les récentes activités du cybergroupe russe GRU APT28, notamment le ciblage de l’exécutif du Parti social-démocrate allemand, sont la dernière d’un comportement connu des services de renseignement russes visant à saper les processus démocratiques à travers le monde”, a déclaré le gouvernement britannique .

Le Département d’État américain a décrit l’APT28 comme étant connu pour avoir un « comportement malveillant, néfaste, déstabilisateur et perturbateur » et qu’il s’engage à « assurer la sécurité de nos alliés et partenaires et à faire respecter l’ordre international fondé sur des règles, y compris dans le cyberespace ».

Plus tôt en février dernier, une action coordonnée des forces de l’ordre a démantelé un botnet comprenant des centaines de routeurs de petits bureaux et de bureaux à domicile (SOHO) aux États-Unis et en Allemagne que les acteurs de l’APT28 auraient utilisés pour dissimuler leurs activités malveillantes, telles que l’exploitation de CVE. -2023-23397 contre des cibles d’intérêt.

Selon un rapport publié cette semaine par la société de cybersécurité Trend Micro, le botnet proxy criminel tiers remonte à 2016 et comprend bien plus que de simples routeurs d’Ubiquiti , englobant d’autres routeurs basés sur Linux, Raspberry Pi et des serveurs privés virtuels (VPS). .

/>

« L’acteur malveillant [derrière le botnet] a réussi à déplacer certains des robots EdgeRouter du serveur C&C [commande et contrôle] qui a été désactivé le 26 janvier 2024 vers une infrastructure C&C nouvellement mise en place début février 2024. “, a déclaré la société , ajoutant que les contraintes juridiques et les défis techniques ont empêché un nettoyage complet de tous les routeurs piégés.

Les activités de cybermenace parrainées par l’État russe – vol de données, attaques destructrices, campagnes DDoS et opérations d’influence – devraient également constituer un risque sérieux pour les élections dans des régions comme les États-Unis, le Royaume-Uni et l’UE de la part de plusieurs groupes tels que l’APT44 ( alias Sandworm), COLDRIVER, KillNet, APT29 et APT28, selon une évaluation publiée par Mandiant, filiale de Google Cloud, la semaine dernière.

“En 2016, l’APT28, lié au GRU, a compromis les cibles de l’organisation du Parti démocrate américain ainsi que le récit personnel du président de campagne du candidat démocrate à la présidentielle et a orchestré une campagne de fuite avant l’élection présidentielle américaine de 2016”, ont déclaré les chercheurs Kelli Vanderlee et Jamie Collier .

De plus, les données de Cloudflare et de NETSCOUT montrent une augmentation des attaques DDoS ciblant la Suède après son adhésion à l’alliance de l’OTAN, reflétant la tendance observée lors de l’adhésion de la Finlande à l’OTAN en 2023.

“Les coupables probables de ces attaques incluent les groupes de hackers NoName057, Anonymous Soudan, Russian Cyber ​​Army Team et KillNet”, a déclaré NETSCOUT . “Tous ces groupes sont politiquement motivés et soutiennent les idéaux russes.”

Ces développements surviennent alors que les agences gouvernementales du Canada, du Royaume-Uni et des États-Unis ont publié une nouvelle fiche d’information conjointe pour aider à protéger les organisations d’infrastructures critiques contre les attaques continues lancées par des hacktivistes apparemment pro-russes contre les systèmes de contrôle industriel (ICS) et les opérations à petite échelle. systèmes technologiques (OT) depuis 2022.

“L’activité hacktiviste pro-russe semble principalement limitée à des techniques peu sophistiquées qui manipulent les équipements ICS pour créer des effets nuisibles”, ont indiqué les agences . “Cependant, les enquêtes ont révélé que ces acteurs sont capables d’utiliser des techniques qui constituent des menaces physiques contre des environnements OT non sécurisés et mal configurés.”

Les cibles de ces attaques comprennent des organisations des secteurs des infrastructures critiques d’Amérique du Nord et d’Europe, notamment les systèmes d’eau et de traitement des eaux usées, les barrages, l’énergie, ainsi que les secteurs de l’alimentation et de l’agriculture.

Il a été observé que les groupes hacktivistes obtenaient un accès à distance en exploitant des connexions Internet exposées au public ainsi que des mots de passe par défaut d’usine associés aux interfaces homme-machine ( IHM ) répandues dans de tels environnements, suivis par la falsification de paramètres critiques, la désactivation des mécanismes d’alarme, et verrouiller les opérateurs en modifiant les mots de passe administratifs.

Les recommandations pour atténuer la menace incluent le renforcement des interfaces homme-machine, la limitation de l’exposition des systèmes OT à Internet, l’utilisation de mots de passe forts et uniques et la mise en œuvre d’une authentification multifacteur pour tous les accès au réseau OT.

“Ces hacktivistes cherchent à compromettre les systèmes de contrôle industriel (ICS) modulaires exposés à Internet via leurs composants logiciels, tels que les interfaces homme-machine (IHM), en exploitant les logiciels d’accès à distance de l’informatique en réseau virtuel (VNC) et les mots de passe par défaut”, indique l’alerte. .

Sujets récents