Les opérateurs du service de renseignement extérieur russe (SVR) ont changé leurs attaques pour cibler de nouvelles vulnérabilités en réaction aux avis du gouvernement américain publiés le mois dernier avec des informations sur les tactiques, les outils, les techniques et les capacités SVR utilisés dans les attaques en cours.

L’avertissement intervient après que les gouvernements américain et britannique ont officiellement attribué l’attaque de la chaîne d’approvisionnement SolarWinds et le développeur de vaccins COVID-19 ciblant les efforts de cyberespionnage des opérateurs russes de SVR (alias APT29, Cozy Bear et The Dukes) le 15 avril.

Le même jour, la NSA, la CISA et le FBI ont informé les organisations et les fournisseurs de services des cinq principales vulnérabilités exploitées dans les attaques SVR contre les intérêts américains.

Dans un troisième avis publié le 26 avril, le FBI, le DHS et la CIA ont mis en garde contre la poursuite des attaques coordonnées par le SVR russe contre les organisations américaines et étrangères.

Les agences fédérales américaines ont souligné que les opérateurs SVR utilisent couramment la pulvérisation de mots de passe, exploitent la vulnérabilité CVE-2019-19781 pour obtenir un accès au réseau et déploient des logiciels malveillants WELLMESS sur des systèmes compromis.

Réponse de SVR russe aux avis des États-Unis et du Royaume-Uni

Aujourd’hui, dans un nouvel avis de sécurité conjoint NCSC (Royaume-Uni) -CISA-FBI-NSA [PDF], les défenseurs du réseau sont avertis de corriger les systèmes aussi rapidement que possible pour correspondre à la vitesse à laquelle les pirates russes de l’État SVR ont déjà changé de cible à la suite des avis d’avril.

« Les cyberopérateurs SVR semblent avoir réagi […] en modifiant leurs TTP pour tenter d’éviter de nouveaux efforts de détection et de remédiation par les défenseurs du réseau », selon l’avis conjoint américain et britannique d’aujourd’hui.

« Ces changements comprenaient le déploiement de l’outil open-source Sliver dans le but de maintenir leurs accès.

Les cyberspies russes ont également commencé à rechercher les serveurs Microsoft Exchange exposés aux attaques ProxyLogon ciblant la CVE-2021-26855.

Au total, comme l’ont récemment observé les cyber-agences américaines et britanniques, le SVR russe exploite plusieurs …