November 23, 2024

PDFS

C'est en forgeant qu'on devient forgeron

Le NCSC se joint aux autorités américaines pour dénoncer la campagne de force brutale russe

4 min read
3 years ago admin

Le Royaume-Uni Centre national de cybersécurité (NCSC), aux côtés de partenaires américains, dont la National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI), ont publié aujourd’hui un avis de sécurité commun exposer une longue campagne de cyberattaques par force brute par l’unité de renseignement militaire russe GRU.

La campagne aurait commencé à la mi-2019 et semble se poursuivre. il a vu le 85e Centre principal de services spéciaux (GTsSS) de l’état-major général russe Direction principale du renseignement (GRU) tentent de compromettre les réseaux d’organisations du monde entier, y compris les organismes gouvernementaux et du secteur public et les entreprises, avec des attaques par force brute – une méthode d’essai et d’erreur pour pénétrer dans le système d’une cible en parcourant toutes les combinaisons possibles d’informations d’identification jusqu’à un match est touché.

Cette technique n’est pas du tout nouvelle – en effet, elle ressemble dans une certaine mesure à la façon dont un braqueur de banque pourrait casser un coffre-fort dans un vieux film, en essayant de nombreuses combinaisons – mais dans cette campagne, les agents russes ont utilisé un cluster Kubernetes pour mettre à l’échelle et automatiser ses activités de casse des identifiants.

Un nombre important de ces attaques auraient ciblé les services cloud Microsoft Office 365, bien que la campagne ait également touché d’autres fournisseurs de services et même des serveurs de messagerie sur site. Le GRU a ainsi pu accéder aux données protégées, y compris les e-mails, et identifier les informations d’identification de compte valides pour obtenir un accès plus approfondi, établir la persistance tout en évitant la détection et élever les privilèges. Ses espions ont également exploité des vulnérabilités connues du public pour l’exécution de code à distance.

Les cibles connues à ce jour incluent le gouvernement et l’armée, les entrepreneurs de la défense, les sociétés énergétiques, les établissements d’enseignement supérieur, les sociétés de logistique, les cabinets d’avocats, les sociétés de médias, les consultants politiques et les partis politiques, et les groupes de réflexion.

Commentant la dernière divulgation, Intelligence mandiante sur les menaces Le vice-président John Hultquist a déclaré : « APT28 [Mandiant’s designation for GRU ops] effectue régulièrement la collecte de renseignements contre ces cibles dans le cadre de ses attributions en tant que cyberbras d’une agence de renseignement militaire.

« Le pain et le beurre de ce groupe est la collecte de routine contre les décideurs politiques, les diplomates, l’armée et l’industrie de la défense et ces types d’incidents ne présagent pas nécessairement des opérations comme des campagnes de piratage et de fuite. Malgré tous nos efforts, il est très peu probable que nous empêchions jamais Moscou d’espionner », a-t-il déclaré à Computer Weekly dans un communiqué envoyé par courrier électronique. “C’est un bon rappel que le GRU reste une menace imminente, ce qui est particulièrement important compte tenu des prochains Jeux olympiques, un événement qu’ils pourraient bien tenter de perturber.”

Comme pour toute campagne utilisant des techniques de vol d’informations d’identification, les organisations peuvent suivre plusieurs étapes immédiatement pour éviter d’être compromises. Ceux-ci inclus:

  • Utilisation de la technologie d’authentification multifacteur (MFA) ;
  • Activation des fonctionnalités de délai d’attente et de verrouillage chaque fois que l’authentification par mot de passe est nécessaire, ce qui peut ralentir les attaques par force brute ;
  • Utiliser des services qui empêchent les utilisateurs de faire des choix de mot de passe faciles à deviner ;
  • Utiliser des captchas pour empêcher les tentatives d’accès automatisées lorsque les protocoles prennent en charge l’interaction humaine ;
  • Modification de toutes les informations d’identification par défaut et désactivation des protocoles qui utilisent une authentification faible ou ne prennent pas en charge MFA ;
  • Configuration des contrôles d’accès sur les ressources cloud pour garantir que seuls les comptes bien entretenus et bien protégés peuvent y accéder ;
  • Utilisation de la segmentation du réseau et des restrictions pour limiter l’accès ;
  • Et en utilisant des outils automatisés pour auditer les journaux d’accès pour les problèmes de sécurité et identifier les demandes d’accès douteuses.

L’avis complet, y compris plus d’informations sur les tactiques, les techniques et les procédures de la campagne, peut être trouvé ici.

More Stories

5 min read

ICO en vue de mettre fin aux pop-ups de cookies

3 years ago admin
10 min read

Comment les services SOAR et SIEM s’en sortent-ils dans un paysage de cybermenaces en évolution rapide ?

3 years ago admin
6 min read

La Chine accusée de cyberattaques contre les systèmes informatiques norvégiens

3 years ago admin

Leave a Reply

Your email address will not be published. Required fields are marked *

You may have missed

3 min read

Éclairage Blackpool pour un haut débit entièrement en fibre

3 years ago admin
4 min read

La réapparition de REvil pourrait annoncer de nouvelles campagnes de rançon

3 years ago admin
4 min read

CityFibre étend son réseau dans le Sussex, en Écosse et annonce Medway ISP

3 years ago admin
4 min read

Covid positif pour le marché de la sécurité, mais toujours source de stress

3 years ago admin
Copyright © All rights reserved. | Newsphere by AF themes.