Le Centre national de cybersécurité du Royaume-Uni (NCSC) a officiellement attribué les attaques de logiciels malveillants d’espionnage « Authentiques bouffonneries » à APT28( Fancy Bear), un acteur de la menace déjà lié au service de renseignement militaire russe (GRU).
Le NCSC a révélé dans une analyse technique détaillée du malware Authentic Antics datée du 6 mai qu’il volait des informations d’identification et des jetons OAuth 2.0 qui permettent d’accéder au compte de messagerie d’une cible.
Le logiciel malveillant a été observé en cours d’utilisation en 2023 et s’exécute à l’intérieur du processus Outlook et produit plusieurs invites de connexion Microsoft dans ses tentatives d’interception des données de connexion et du code d’autorisation de la victime.
L’agence indique que, comme les applications Microsoft 365 sont configurables par locataire, il est possible que les données sensibles fonctionnent également pour Exchange Online, SharePoint et OneDrive.
Authentic Antics exfiltrera les données volées en utilisant le propre compte Outlook de la victime pour les envoyer à une adresse e-mail contrôlée par l’attaquant, et masquera l’opération en désactivant l’option “Enregistrer dans envoyé”.
Authentic Antics se compose de plusieurs composants qui incluent un compte-gouttes, un infostealer et plusieurs scripts PowerShell.
La cyber agency britannique affirme que Authentic Antics a un haut niveau de sophistication qui lui permet de donner accès aux comptes de messagerie des victimes pendant de longues périodes sans être détecté.
Cela est possible car la communication réseau du logiciel malveillant se fait uniquement avec des services légitimes. De plus, comme il envoie automatiquement les messages électroniques de la victime à l’attaquant, il ne nécessite pas de serveur de commande et de contrôle (C2) pour recevoir les tâches.
« Sa présence sur le disque est limitée, les données sont stockées dans des emplacements de registre spécifiques à Outlook », déclarent les experts du NCSC dans l’analyse technique.
Attribution et sanctions
Le NCSC a attribué des Singeries authentiques, mais l’agence a annoncé aujourd’hui qu’elle avait trouvé des preuves reliant le logiciel malveillant au groupe d’État APT28, également connu sous le nom de Fancy Bear, Sednit, Sofacy, Pawn Storm, STRONTIUM, Tsar Team et Forest Blizzard.
“Le gouvernement a aujourd’hui (18 juillet) dénoncé des acteurs du renseignement militaire russe pour avoir utilisé des logiciels malveillants jusque-là inconnus pour permettre l’espionnage contre les comptes de messagerie des victimes, dans un geste qui assurera la sécurité du Royaume-Uni et de ses alliés”, a déclaré le NCSC britannique.
“Le Centre national de cybersécurité-qui fait partie du GCHQ – a révélé pour la première fois que le groupe de cybermenaces APT 28 était responsable du déploiement d’un logiciel malveillant sophistiqué baptisé AUTHENTIC ANTICS dans le cadre de ses opérations.”
Cette attribution a également conduit le gouvernement britannique à sanctionner trois unités du GRU (26165, 29155 et 74455) et 18 personnes russes impliquées dans ces campagnes et d’autres campagnes connexes.
Les responsables britanniques ont condamné les agents du GRU pour avoir mené des opérations hybrides visant à déstabiliser l’Europe et à mettre en danger les citoyens britanniques, saluant également le fait que le déploiement de Singeries authentiques reflète une sophistication croissante des services de renseignement russes.
Dans le même temps, ils ont souligné l’engagement du NCSC à dénoncer ces cyberactivités et à sanctionner les parties responsables.
Des singeries authentiques ont été utilisées dans des attaques depuis