Les agences de cybersécurité et de renseignement des pays des Five Eyes ont publié un avis conjoint mettant en lumière l'évolution des tactiques du célèbre acteur menaçant parrainé par l'État russe., APT29. Cette entité de piratage, connu sous divers pseudonymes, dont BlueBravo, Ourse masquée, Ours douillet, et les ducs, serait affilié aux services russes de renseignement extérieur (RVS).
APT29 présente un mode opératoire amélioré
L'attention portée à APT29 s'est intensifiée suite à son implication dans la compromission très médiatisée de la chaîne d'approvisionnement du logiciel SolarWinds.. Cependant, ces derniers mois ont vu une reprise de ses activités, avec des cibles notables, notamment des géants de la technologie comme Microsoft et Hewlett Packard Enterprise (HPE), parmi d'autres. Les objectifs stratégiques du groupe semblent être alimentés par une poursuite incessante de cyberespionnage, tirer parti de tactiques sophistiquées pour infiltrer et compromettre les organisations ciblées.
Selon le bulletin de sécurité complet publié par les agences collaboratrices, APT29 a démontré une remarquable adaptabilité au paysage changeant de la cybersécurité. Alors que les organisations évoluent vers une infrastructure basée sur le cloud, l'acteur menaçant a recalibré son modus operandi, s'éloigner des méthodes conventionnelles d'exploitation des vulnérabilités logicielles dans les réseaux sur site.
Tactiques clés utilisées par APT29, comme indiqué dans l'avis, inclure:
- Accès à l'infrastructure cloud. APT29 utilise des attaques par force brute et par pulvérisation de mots de passe pour accéder à l'infrastructure cloud., ciblage des comptes de service et des comptes dormants. Ce changement signifie une évolution stratégique vers l'exploitation des vulnérabilités inhérentes aux systèmes basés sur le cloud..
- Accès basé sur des jetons. L'acteur malveillant utilise des jetons pour accéder aux victimes’ comptes sans avoir besoin de mots de passe, contourner les mécanismes d’authentification traditionnels et compliquer les efforts de détection.
- Techniques de réutilisation des informations d'identification. APT29 utilise des techniques de pulvérisation de mots de passe et de réutilisation des informations d'identification pour compromettre les comptes personnels, utiliser un bombardement rapide pour contourner l'authentification multifacteur (MFA) exigences. Par la suite, les acteurs malveillants enregistrent leurs propres appareils pour obtenir un accès non autorisé au réseau.
- Procurations résidentielles. Pour dissimuler leurs véritables origines et échapper à la détection, APT29 utilise des proxys résidentiels pour masquer le trafic malveillant, le rendant impossible à distinguer de l'activité légitime des utilisateurs. En tirant parti des adresses IP au sein du fournisseur de services Internet (ISP) gammes utilisées pour les clients résidentiels haut débit, les acteurs de la menace camouflent efficacement leurs opérations.
En conclusion, la conseil conjoint témoigne des efforts de collaboration des agences de cybersécurité pour faire face aux cybermenaces complexes.. En dévoilant les tactiques d'APT29 et en fournissant des informations exploitables, cet avis permet aux organisations d'améliorer leurs défenses et de se prémunir contre la menace omniprésente du cyberespionnage parrainé par l'État..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: