Cyberveiligheids- en inlichtingendiensten van de Five Eyes-landen hebben een gezamenlijk advies uitgebracht dat licht werpt op de zich ontwikkelende tactieken van de beruchte Russische staatsgesponsorde dreigingsacteur, APT29. Deze hackentiteit, bekend onder verschillende aliassen, waaronder BlueBravo, Gehulde Ursa, Gezellige beer, en De hertogen, Er wordt aangenomen dat hij banden heeft met de Russische buitenlandse inlichtingendienst (SVR).
APT29 toont verbeterde modus operandi
De aandacht voor APT29 nam toe na zijn betrokkenheid bij de spraakmakende supply chain-compromis van SolarWinds-software. Echter, De afgelopen maanden is er sprake geweest van een heropleving van haar activiteiten, met opmerkelijke doelwitten, waaronder technologiegiganten als Microsoft en Hewlett Packard Enterprise (HPE), onder andere. De strategische doelstellingen van de groep lijken te worden gevoed door een meedogenloos streven naar cyber spionage, gebruikmaken van geavanceerde tactieken om gerichte organisaties te infiltreren en in gevaar te brengen.
Dat blijkt uit het uitgebreide veiligheidsbulletin dat is uitgegeven door de samenwerkende instanties, APT29 heeft blijk gegeven van een opmerkelijk aanpassingsvermogen aan het veranderende landschap van cyberbeveiliging. Terwijl organisaties overstappen naar een cloudgebaseerde infrastructuur, de dreigingsactor heeft zijn modus operandi opnieuw gekalibreerd, we moeten afstappen van conventionele methoden voor het misbruiken van softwarekwetsbaarheden in lokale netwerken.
Belangrijkste tactieken van APT29, zoals beschreven in het advies, omvatten:
- Toegang tot cloudinfrastructuur. APT29 maakt gebruik van brute force-aanvallen en wachtwoordspray-aanvallen om toegang te krijgen tot de cloudinfrastructuur, targetingservice en slapende accounts. Deze verschuiving betekent een strategische stap in de richting van het exploiteren van kwetsbaarheden die inherent zijn aan cloudgebaseerde systemen.
- Op tokens gebaseerde toegang. De bedreigingsacteur maakt gebruik van tokens om toegang te krijgen tot slachtoffers’ accounts zonder dat er wachtwoorden nodig zijn, het omzeilen van traditionele authenticatiemechanismen en het bemoeilijken van detectie-inspanningen.
- Technieken voor hergebruik van inloggegevens. APT29 maakt gebruik van technieken voor het verspreiden van wachtwoorden en het hergebruiken van inloggegevens om persoonlijke accounts in gevaar te brengen, het gebruik van prompt bombing om multi-factor authenticatie te omzeilen (MFA) vereisten. Hierop volgend, de dreigingsactoren registreren hun eigen apparaten om ongeautoriseerde toegang tot het netwerk te krijgen.
- Woonvolmachten. Om hun ware oorsprong te verbergen en detectie te ontwijken, APT29 maakt gebruik van residentiële proxy's om kwaadaardig verkeer te maskeren, waardoor het niet te onderscheiden is van legitieme gebruikersactiviteit. Door gebruik te maken van IP-adressen binnen de internetprovider (ISP) bereik dat wordt gebruikt voor residentiële breedbandklanten, de dreigingsactoren camoufleren hun operaties effectief.
Tenslotte, de gezamenlijk advies dient als bewijs van de gezamenlijke inspanningen van cyberbeveiligingsinstanties bij het aanpakken van complexe cyberdreigingen. Door de tactieken van APT29 te onthullen en bruikbare inzichten te bieden, het advies stelt organisaties in staat hun verdediging te verbeteren en zich te beschermen tegen de alomtegenwoordige dreiging van door de staat gesponsorde cyberspionage.