Les membres de l’alliance du renseignement Five Eyes (FVEY) ont averti aujourd’hui que les pirates informatiques du Service de renseignement extérieur russe (SVR) APT29 se tournent désormais vers des attaques ciblant les services cloud de leurs victimes.

APT29 (également connu sous le nom de Cozy Bear, Midnight Blizzard, The Dukes) a violé plusieurs agences fédérales américaines à la suite de l’attaque de la chaîne d’approvisionnement SolarWinds qu’ils ont orchestrée il y a plus de trois ans.

Les cyberespions russes ont également compromis des comptes Microsoft 365 appartenant à diverses entités au sein des pays de l’OTAN pour obtenir des données liées à la politique étrangère et ont ciblé des gouvernements, des ambassades et des hauts fonctionnaires à travers l’Europe associés à une série d’attaques de phishing.

Plus récemment, Microsoft a confirmé en janvier que le groupe de piratage des Services de renseignement étrangers russes avait violé les comptes Exchange Online de ses dirigeants et des utilisateurs d’autres organisations en novembre 2023.

Services cloud attaqués
Aujourd’hui, un avis conjoint publié par le National Cyber Security Center (NCSC) du Royaume-Uni, la NSA, la CISA, le FBI et des agences de cybersécurité d’Australie, du Canada et de Nouvelle-Zélande a averti que le groupe de menaces russe s’oriente progressivement vers des attaques contre l’infrastructure cloud.

« Alors que les organisations continuent de moderniser leurs systèmes et de passer à une infrastructure basée sur le cloud, le SVR s’est adapté à ces changements dans l’environnement d’exploitation », indique l’avis.

« Ils doivent aller au-delà de leurs moyens traditionnels d’accès initial, tels que l’exploitation des vulnérabilités logicielles dans un réseau local, et plutôt cibler les services cloud eux-mêmes. »

Comme l’ont découvert les agences Five Eyes, les pirates informatiques APT29 accèdent désormais aux environnements cloud de leurs cibles à l’aide des informations d’identification du compte access service compromises lors d’attaques par forçage brutal ou pulvérisation de mots de passe.

De plus, ils utilisent des comptes dormants qui n’ont jamais été supprimés après que les utilisateurs ont quitté les organisations ciblées, ce qui leur permet également de retrouver l’accès après la réinitialisation du mot de passe à l’échelle du système.

Les vecteurs initiaux de violation du cloud d’APT29 incluent également l’utilisation de jetons d’accès volés qui leur permettent de détourner des comptes sans utiliser d’informations d’identification, des routeurs résidentiels compromis pour proxy leur activité malveillante, la fatigue de l’AMF pour contourner l’authentification multifacteur (MFA) et l’enregistrement de leurs propres appareils en tant que nouveaux appareils sur

Après avoir obtenu un accès initial, les pirates SVR utilisent des outils sophistiqués comme le malware MagicWeb (qui leur permet de s’authentifier en tant qu’utilisateur au sein d’un réseau compromis) pour échapper à la détection dans les réseaux des victimes, principalement des organisations gouvernementales et critiques couvrant l’Europe, les États-Unis et l’Asie.

Comment détecter les attaques SVR dans le cloud
Par conséquent, l’atténuation des vecteurs d’accès initiaux d’APT29 devrait figurer en tête de liste des défenseurs du réseau lorsqu’ils s’efforcent de bloquer leurs attaques.

Il est conseillé aux défenseurs du réseau d’activer l’authentification multifacteur partout et chaque fois que possible, associé à des mots de passe forts, d’utiliser le principe du moindre privilège pour tous les comptes système et de service, de créer des comptes de service canary pour détecter plus rapidement les compromis et de réduire la durée de vie des sessions pour bloquer l’utilisation de jetons de session volés.

Ils doivent également autoriser uniquement l’inscription des appareils pour les appareils autorisés et surveiller les indicateurs de compromission qui produiraient le moins de faux positifs lors de la surveillance des failles de sécurité.

« Pour les organisations qui ont migré vers une infrastructure cloud, une première ligne de défense contre un acteur tel que SVR devrait être de se protéger contre les TTP de SVR pour l’accès initial », ont déclaré les alliés de Five Eyes.

« En suivant les mesures d’atténuation décrites dans cet avis, les organisations seront en meilleure position pour se défendre contre cette menace. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *