Les cyber-agences américaines et britanniques ont averti aujourd’hui que les pirates informatiques APT29 liés au Service de renseignement extérieur russe (SVR) ciblent les serveurs Zimbra et JetBrains TeamCity vulnérables « à grande échelle. »
Un avis conjoint émis par la NSA, le FBI, la Cyber National Mission Force (CNMF) du Cyber Commandement américain et le NCSC du Royaume-Uni avertit les défenseurs du réseau de patcher les serveurs exposés pour bloquer ces attaques en cours.
Les quatre cyber-agences ont déclaré que le groupe de piratage ciblait les serveurs Zimbra et TeamCity non corrigés exposés en ligne « à grande échelle pour cibler les victimes dans le monde entier dans divers secteurs » en utilisant les exploits CVE-2022-27924 et CVE-2023-42793.
CVE-2022 – 27924 est exploité depuis au moins août 2022 pour voler les identifiants de compte de messagerie des instances de collaboration Zimbra non corrigées, tandis que CVE-2023-42793 a été exploité à la fois par des gangs de ransomwares et des groupes de piratage nord-coréens pour un accès initial et des tentatives d’attaques de la chaîne d’approvisionnement.
« Sur la base des TTP des cyberacteurs SVR et du ciblage précédent, les agences de création évaluent qu’elles ont la capacité et l’intérêt d’exploiter des CVE supplémentaires pour l’accès initial, l’exécution de code à distance et l’élévation de privilèges », ont-ils ajouté.
L’avis répertorie deux douzaines de vulnérabilités divulguées et corrigées au cours des six dernières années et demande aux défenseurs de déployer des correctifs de sécurité et d’appliquer des mesures d’atténuation pour prévenir les failles de sécurité.
Également connu sous le nom de Cozy Bear, Midnight Blizzard (anciennement Nobelium) et the Dukes, ce groupe de piratage SVR cible depuis des années des organisations gouvernementales et privées à travers les États-Unis et l’Europe.
La NSA, le FBI et la CISA ont émis un avis similaire il y a plus de trois ans, en avril 2021, après que les pirates informatiques APT29 ont violé plusieurs agences fédérales américaines à la suite de l’attaque de la chaîne d’approvisionnement SolarWinds qu’ils ont orchestrée.
Ils ont également piraté les comptes Microsoft 365 des pays de l’OTAN pour voler des données liées à la politique étrangère et violé les comptes Exchange Online des dirigeants de Microsoft et d’autres sociétés en novembre 2023.
Plus récemment, l’alliance du renseignement Five Eyes (FVEY) a averti en février qu’APT29 avait également commencé à cibler les services cloud des victimes potentielles.
« Cette activité constitue une menace mondiale pour le gouvernement et les secteurs privés et nécessite un examen approfondi des contrôles de sécurité, y compris la hiérarchisation des correctifs et la mise à jour des logiciels », a déclaré Dave Luber, directeur de la cybersécurité de la NSA.
« Nos conseils mis à jour aideront les défenseurs du réseau à détecter ces intrusions et à s’assurer qu’ils prennent des mesures pour sécuriser leurs systèmes. »