Le agenzie di sicurezza informatica e di intelligence delle nazioni Five Eyes hanno emesso un avviso congiunto che fa luce sulle tattiche in evoluzione del famigerato attore di minacce sponsorizzato dallo stato russo, APT29. Questa entità di hacking, conosciuto con vari alias tra cui BlueBravo, Orsa ammantata, Orso accogliente, e I Duchi, si ritiene sia affiliato al servizio segreto straniero russo (SVR).
APT29 presenta un modus operandi migliorato
I riflettori su APT29 si sono intensificati in seguito al suo coinvolgimento nella compromissione della catena di fornitura di alto profilo del software SolarWinds. Tuttavia, negli ultimi mesi si è assistito ad una ripresa delle sue attività, con obiettivi importanti tra cui giganti della tecnologia come Microsoft e Hewlett Packard Enterprise (HPE), tra gli altri. Gli obiettivi strategici del gruppo sembrano essere alimentati da un incessante perseguimento di lo spionaggio informatico, sfruttando tattiche sofisticate per infiltrarsi e compromettere le organizzazioni prese di mira.
Secondo il bollettino completo sulla sicurezza rilasciato dalle agenzie che hanno collaborato, APT29 ha dimostrato una notevole adattabilità al panorama in evoluzione della sicurezza informatica. Man mano che le organizzazioni passano verso un'infrastruttura basata sul cloud, l’autore della minaccia ha ricalibrato il suo modus operandi, allontanandosi dai metodi convenzionali di sfruttamento delle vulnerabilità del software nelle reti locali.
Tattiche chiave utilizzate da APT29, come indicato nell'avviso, includere:
- Accesso all'infrastruttura cloud. APT29 impiega attacchi di forza bruta e password spraying per ottenere l’accesso all’infrastruttura cloud, servizi di targeting e account dormienti. Questo cambiamento rappresenta un passo strategico verso lo sfruttamento delle vulnerabilità inerenti ai sistemi basati su cloud.
- Accesso basato su token. L'autore della minaccia sfrutta i token per accedere alle vittime’ account senza la necessità di password, eludendo i meccanismi di autenticazione tradizionali e complicando gli sforzi di rilevamento.
- Tecniche di riutilizzo delle credenziali. APT29 utilizza tecniche di spraying delle password e di riutilizzo delle credenziali per compromettere gli account personali, impiegando un tempestivo bombardamento per aggirare l’autenticazione a più fattori (MFA) requisiti. Successivamente, gli autori delle minacce registrano i propri dispositivi per ottenere l'accesso non autorizzato alla rete.
- Proxy residenziali. Per nascondere le loro vere origini ed eludere il rilevamento, APT29 utilizza proxy residenziali per mascherare il traffico dannoso, rendendolo indistinguibile dall'attività legittima dell'utente. Sfruttando gli indirizzi IP all'interno del provider di servizi Internet (ISP) gamme utilizzate per i clienti residenziali a banda larga, gli autori delle minacce camuffano efficacemente le loro operazioni.
Insomma, il consulenza congiunta funge da testimonianza degli sforzi collaborativi delle agenzie di sicurezza informatica nell’affrontare le complesse minacce informatiche. Svelando le tattiche di APT29 e fornendo approfondimenti utilizzabili, l’avviso consente alle organizzazioni di migliorare le proprie difese e salvaguardarsi dalla minaccia pervasiva dello spionaggio informatico sponsorizzato dallo Stato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: