Le FBI, le Département américain de la sécurité intérieure (DHS) et la Cybersecurity and Infrastructure Security Agency (CISA) ont mis en garde aujourd’hui contre la poursuite des attaques coordonnées par le service russe de renseignement extérieur (SVR) (alias APT29) contre des organisations américaines et étrangères.

«L’activité SVR – qui inclut le récent compromis SolarWinds Orion sur la chaîne d’approvisionnement – cible principalement les réseaux gouvernementaux, les groupes de réflexion et les organisations d’analyse des politiques, et les entreprises de technologie de l’information et cherche à recueillir des informations», a déclaré CISA.

CISA ajoute qu’APT29 « continuera à rechercher des renseignements auprès d’entités américaines et étrangères par le biais de la cyber-exploitation, en utilisant une gamme de techniques d’exploitation initiale qui varient en sophistication, associées à des intrusions furtives au sein de réseaux compromis ».

L’avis conjoint publié aujourd’hui fournit des informations supplémentaires sur les tactiques, les outils, les techniques et les capacités de l’APT29.

Les informations supplémentaires devraient aider à protéger les réseaux des entités gouvernementales, des groupes de réflexion, des organisations d’analyse des politiques, des entreprises de technologie de l’information et d’autres cibles potentielles de SVR.

Parmi les Tactiques, Techniques et Procédures (TTP) associées aux acteurs SVR, les agences fédérales ont souligné:

• Pulvérisation de mot de passe: Dans un compromis de 2018 sur un grand réseau, les cyberacteurs SVR ont utilisé la pulvérisation de mots de passe pour identifier un mot de passe faible associé à un compte administratif. Avec l’accès au compte administratif, les acteurs ont modifié les autorisations de comptes de messagerie spécifiques sur le réseau, permettant à tout utilisateur du réseau authentifié de lire ces comptes. Alors que les sprays de mots de passe ont été effectués à partir de nombreuses adresses IP différentes, une fois que les acteurs ont obtenu l’accès à un compte, ce compte compromis n’était généralement accessible qu’à partir d’une seule adresse IP correspondant à un serveur privé virtuel (VPS) loué.
• Tirer parti de la vulnérabilité Zero-Day: Dans un autre …