Le FBI, la CISA et la NSA ont averti les défenseurs des réseaux d’infrastructures critiques d’être prêts à détecter et à bloquer les attaques entrantes ciblant des organisations des secteurs d’infrastructures critiques américaines, orchestrées par des groupes de piratage soutenus par la Russie.
Des acteurs de menaces persistantes avancées (APT) liés à la Russie ont été observés attaquant un large éventail d’organisations américaines en utilisant diverses tactiques efficaces pour violer leurs réseaux, allant du phishing et de la force brute à l’exploitation d’une grande variété de vulnérabilités de sécurité connues.
« Les acteurs APT parrainés par l’État russe ont également démontré des capacités commerciales et cybernétiques sophistiquées en compromettant l’infrastructure de tiers, en compromettant des logiciels tiers ou en développant et en déployant des logiciels malveillants personnalisés », l’avis conjoint lit.
« Les acteurs ont également démontré leur capacité à maintenir un accès persistant, non détecté et à long terme dans les environnements compromis, y compris les environnements cloud, en utilisant des informations d’identification légitimes.
« Dans certains cas, les cyberopérations parrainées par l’État russe contre des organisations d’infrastructures critiques ont spécifiquement ciblé les réseaux de technologies opérationnelles (OT)/systèmes de contrôle industriel (ICS) avec des logiciels malveillants destructeurs.
Les trois agences fédérales mettent en évidence les attaques suivantes où des groupes APT russes, notamment APT29, APT28 et Sandworm Team, ont utilisé des logiciels malveillants destructeurs pour cibler spécifiquement les systèmes de contrôle industriel (ICS) et les réseaux de technologie opérationnelle (OT) appartenant à des organisations d’infrastructures critiques dans le monde entier :
- Acteurs APT parrainés par l’État russe ciblant les gouvernements étatiques, locaux, tribaux et territoriaux (SLTT) et les réseaux aéronautiques, de septembre 2020 à décembre 2020 au moins. Les acteurs APT parrainés par l’État russe ont ciblé des dizaines de réseaux gouvernementaux et aéronautiques SLTT. Les acteurs ont réussi à compromettre les réseaux et à exfiltrer les données de plusieurs victimes.
- Campagne mondiale d’intrusion dans le secteur de l’énergie des acteurs de l’APT parrainés par l’État russe, de 2011 à 2018. Ces acteurs de l’APT parrainés par l’État russe ont mené une campagne d’intrusion en plusieurs étapes au cours de laquelle ils ont obtenu un accès à distance aux réseaux américains et internationaux du secteur de l’énergie, déployé des logiciels malveillants axés sur les SCI , et collecté et exfiltré des données d’entreprise et liées au SCI.
- Campagne des acteurs de l’APT parrainés par l’État russe contre les infrastructures critiques ukrainiennes, 2015 et 2016. Des acteurs de l’APT parrainés par l’État russe ont mené une cyberattaque contre les sociétés de distribution d’énergie ukrainiennes, provoquant des pannes de courant imprévues pour plusieurs sociétés en décembre 2015. Les acteurs déployés NoirÉnergie malware pour voler les informations d’identification des utilisateurs et a utilisé son composant malveillant destructeur, KillDisk, pour rendre les ordinateurs infectés inopérants. En 2016, ces acteurs ont mené une campagne de cyber-intrusion contre une entreprise de transport électrique ukrainienne et ont déployé CrashOverride malware spécialement conçu pour attaquer les réseaux électriques.
Il est conseillé aux organisations d’infrastructures critiques américaines exposées à des cyberopérations soutenues par la Russie de se concentrer sur la détection de leurs activités malveillantes en appliquant une collecte/conservation robuste des journaux et en recherchant des preuves comportementales ou des artefacts basés sur le réseau et l’hôte.
S’ils détectent une activité APT potentielle liée à la Russie tout en surveillant leurs réseaux informatiques ou OT, ils sont également encouragés à isoler tous les systèmes potentiellement affectés, à sécuriser leurs sauvegardes, à collecter des preuves de la violation potentielle et à signaler l’incident à la CISA ou au FBI après demander l’aide d’experts informatiques pour les tâches de réponse aux incidents.
Avertissements concernant les APT russes ciblant les organisations américaines
Cet avis conjoint fait suite à un avis de sécurité conjoint NCSC (Royaume-Uni)-CISA-FBI-NSA publié en mai 2021 pour exhorter les défenseurs du réseau à corriger leurs systèmes aussi rapidement que possible pour correspondre à la vitesse avec laquelle les pirates SVR parrainés par la Russie (alias APT29, Cozy Bear et The Dukes) changeaient de cible dans leurs attaques.
Cet avertissement est intervenu après que les gouvernements américain et britannique ont attribué l’attaque de la chaîne d’approvisionnement de SolarWinds et le ciblage du développeur de vaccin COVID-19 aux efforts de cyber-espionnage des opérateurs SVR russes à partir d’avril 2021.
La NSA, la CISA et le FBI ont également informé les organisations et les fournisseurs de services le même jour des cinq principales vulnérabilités exploitées dans les attaques SVR contre les intérêts américains.
Dans un troisième avis conjoint publié en avril, le FBI, le DHS et la CIA ont alerté les organisations américaines de la poursuite des attaques liées au SVR russe contre les organisations américaines et étrangères.
En juillet, le gouvernement américain a également annoncé qu’il offrait une récompense pouvant atteindre 10 millions de dollars dans le cadre de son programme Rewards for Justice (RFJ) pour des informations sur les cyberactivités malveillantes menées par des acteurs de la menace parrainés par l’État ciblant les secteurs d’infrastructure critiques du pays.