Le NCSC et le CISA publient de nouvelles informations sur le “Cozy Bear” russe.

Le National Cyber Security Centre (NCSC) du Royaume-Uni, ainsi que ses partenaires de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et du FBI, ont publié un nouvel avis détaillant les techniques, tactiques et procédures (TTP) utilisées par le groupe APT29, lié aux services de renseignement russes, alias Cozy Bear.

L’avis couvre un certain nombre de TTP que les agences comprennent que le SVR – l’agence de renseignement étrangère de la Russie – utilise, et s’appuie sur l’avis du Royaume-Uni et des États-Unis. l’attribution récente par le Royaume-Uni et les États-Unis des attaques à grande échelle liées à SolarWinds.ainsi que les avertissements émis l’année dernière concernant l’utilisation par la société d’un système d’alerte précoce. deux nouveaux malwares, WellMess et WellMail, contre des organisations travaillant sur les vaccins Covid-19.

“Le SVR est le service civil de renseignement extérieur de la Russie”, a déclaré le NCSC. “Le groupe utilise une variété d’outils et de techniques pour cibler principalement des cibles gouvernementales, diplomatiques, de groupes de réflexion, de soins de santé et d’énergie à l’étranger pour obtenir des renseignements.

“Le SVR est un cyberacteur technologiquement sophistiqué et très compétent. Il a développé des capacités pour cibler des organisations dans le monde entier, notamment au Royaume-Uni, aux États-Unis, en Europe, dans les États membres de l’OTAN et chez les voisins de la Russie.”

Dans le sillage du rapport de l’été dernier sur son ciblage de la recherche sur les vaccins, Cozy Bear semble maintenant avoir pivoté vers l’utilisation d’un certain nombre de nouvelles TTP, dans une tentative probable d’éviter toute nouvelle détection et remédiation, a déclaré le NCSC. Entre autres choses, le groupe a adopté avec enthousiasme l’utilisation des technologies suivantes Sliverune plateforme de simulation d’adversaires et d’équipes rouges, open-source et multiplateforme.

“L’utilisation du cadre Sliver était probablement une tentative de s’assurer que l’accès à un certain nombre de victimes existantes de WellMess et WellMail était maintenu après l’exposition de ces capacités”, a déclaré le NCSC. “Comme observé avec les incidents de SolarWinds, les opérateurs du SVR ont souvent utilisé une infrastructure de commande et de contrôle distincte pour chaque victime de Sliver.”

Il utilise également plus fréquemment – et plus rapidement – les vulnérabilités nouvellement divulguées. Les services de renseignement occidentaux pensent désormais que Cozy Bear fait partie des groupes qui exploitent la dangereuse et largement médiatisée Microsoft Exchange Server ProxyLogon vulnérabilités. Il a également été repéré en train d’exploiter des vulnérabilités communes dans des produits de Fortinet, Cisco, Oracle, Zimbra, Pulse Secure, Citrix, Kibana et F5 Networks, dont certaines remontent à plus de trois ans.

Le NCSC a déclaré que les récentes actions du groupe démontrent clairement que la gestion et l’application des mises à jour de sécurité en priorité contribueraient grandement à réduire la surface d’attaque dont Cozy Bear peut tirer parti.

Il a également réitéré son conseil général selon lequel, malgré la nature complexe et difficile à repérer des attaques de la chaîne d’approvisionnement (telles que l’incident de SolarWinds), le respect des principes de base de la cybersécurité, la mise en œuvre de contrôles de sécurité du réseau et la gestion efficace des privilèges des utilisateurs permettront d’arrêter les mouvements latéraux entre les hôtes si un acteur tel que Cozy Bear s’introduit dans le réseau d’une organisation, et de limiter l’efficacité de ses attaques.