top of page

Groupe APT : le groupe Cosy Bear fait son retour en Europe

Groupe APT : le groupe Cosy Bear fait son retour en Europe

Une opération russe de cyberespionnage, menée par l’un des groupes ayant participé au piratage du Comité national démocrate durant l’élection présidentielle américaine de 2016, s’est illustrée dans de nouvelles attaques dirigées contre des ministères à travers l’Europe et au-delà.

Le groupe de piratage Cosy Bear – également appelé APT29 – serait associé aux services de renseignement russes. Aux côtés du groupe de piratage militaire russe Fancy Bear, il a été impliqué dans plusieurs attaques très médiatisées entre 2014 et 2017.

Retour en fanfare

Depuis lors, Cosy Bear a semblé faire profil bas, mais les analystes en cybersécurité d’ESET ont expliqué en détail comment le groupe, qu’ils designent sous l’appellation “Dukes”, a poursuivi ses activités en essayant de rester sous le radar.

La campagne récemment découverte a été baptisée Opération Ghost par des chercheurs . Celle ci a débuté en 2013 et s’est poursuivie jusqu’en 2019, ce qui signifie que le groupe n’a jamais cessé ses activités d’espionnage.

Dans le cadre d’attaques utilisant quatre nouvelles souches de logiciels malveillants, Cosy Bear a ciblé les ministères des affaires étrangères d’au moins trois pays européens différents, ainsi que l’ambassade américaine d’un pays de l’Union européenne à Washington DC.

Les chercheurs ont attribué Operation Ghost à Cosy Bear, car les attaques utilisent des logiciels malveillants de porte dérobée repérés au cours d’opérations précédentes du groupes, en l’occurrence MiniDuke, dans une version remise à jour. Le groupe semble également être principalement actif pendant les heures de travail en Russie, avec une activité occasionnelle la nuit.

À l’instar des autres campagnes de Cozy Bear, les attaques commencent par des courriels de phishing visant à inciter les victimes à cliquer sur un lien malveillant ou à télécharger des logiciels malveillants via une pièce jointe. Toutefois, les courriels de compromission initiale n’ont pas encore été identifiés.

À partir de là, les attaquants volent les informations de connexion pour se déplacer sur les réseaux, exploitant souvent les informations d’identification de l’administrateur pour le faire.

Des outils évolués

Les campagnes utilisent également trois nouvelles familles de logiciels malveillants pour mener leurs opérations sur des systèmes compromis, que les chercheurs ont nommées PolyglotDuke, RegDuke et FatDuke.

PolyglotDuke utilise Twitter, Reddit, Imgur et d’autres sites Web pour se connecter à l’infrastructure de commande et de contrôle, permettant ainsi aux attaquants d’éviter de stocker ces informations dans les programmes malveillants, ce qui peut permettre d’éviter la détection.

“Les systèmes automatisés signaleront moins probablement un exécutable comme malveillant s’il ne contient que les URL de sites Web légitimes. De plus, si le malware est exécuté dans un sandbox, sans accès Internet, il n’exécutera aucune activité malveillante car il ne pourra pas atteindre le serveur C & C ” explique Matthieu Faou, chercheur sur les logiciels malveillants chez ESET et auteur de la recherche.

“Enfin, cela permet aux attaquants de mettre facilement à jour l’URL du C&C, car ils ont juste besoin de remplacer le message”, a-t-il ajouté.

Pendant ce temps, RegDuke contient la charge utile principale et la stocke dans le registre Windows tout en utilisant la sténographie pour rester masqué. La troisième nouvelle famille de programmes malveillants est FatDuke, que les chercheurs décrivent comme une porte dérobée sophistiquée permet de voler les informations de connexion et d’autres données confidentielles associées aux activités d’espionnage, en particulier contre les plus hautes administrations.

“Ces organisations traitent généralement des documents extrêmement sensibles concernant la politique nationale ou mondiale. Elles constituent donc, du point de vue de l’espionnage, des cibles de grande valeur”, a déclaré Faou.

Le rapport ESET indique que les chercheurs continueront à surveiller l’activité de Dukes et qu’une liste d’indicateurs de compromission a été publiée sur GitHub pour aider les victimes potentielles à détecter les attaques.

Les chercheurs ont également rappelé que le fait qu’un groupe de menaces APT ne soit plus repéré pendant un certain temps ne signifie pas pour autant qu’il a cessé ses activités d’espionnage. En effet, la nature même de l’espionnage signifie que les attaquants font tout son possible pour éviter la détection. Et même si des groupes comme Cosy Bear peuvent parfois suspendre leurs activités, c’est au final leur rôle principal de mener des activités d’espionnage, de sorte que le groupe reviendra à l’avenir.

“Nous pouvons nous attendre à ce qu’ils développent de nouveaux outils pour pouvoir redémarrer leurs attaques dans les semaines ou les mois à venir”, a déclaré Faou.

0 vue0 commentaire

Kommentare


bottom of page