EXCLUSIF: Les pirates associés au service de renseignement étranger de la Fédération de Russie (SVR) ont poursuivi leurs incursions sur les réseaux de plusieurs organisations après la compromission de la chaîne d’approvisionnement de SolarWinds en utilisant deux menaces sophistiquées récemment découvertes.
Les implants malveillants sont une variante de la porte dérobée GoldMax pour les systèmes Linux et une toute nouvelle famille de logiciels malveillants que la société de cybersécurité CrowdStrike suit désormais sous le nom de TrailBlazer.
Les deux menaces sont utilisées dans les campagnes StellarParticle depuis au moins la mi-2019, mais n’ont été identifiées que deux ans plus tard, lors d’enquêtes sur les réponses aux incidents.
Les attaques StellarParticle ont été attribuées au groupe de piratage APT29 qui mène des campagnes de cyberespionnage depuis plus de 12 ans et est également connu sous le nom de CozyBear, The Dukes et Yttrium.
Voler des cookies pour le contournement MFA
Dans un rapport partagé exclusivement avec EZpublish-france.fr, la société de cybersécurité CrowdStrike décrit aujourd’hui en détail les dernières tactiques, techniques et procédures (TTP) observées dans les cyberattaques des pirates parrainés par l’État de Cozy Bear.
Alors que certaines des techniques sont quelque peu courantes aujourd’hui, Cozy Bear les a utilisées bien avant qu’elles ne deviennent populaires :
- saut d’informations d’identification
- piratage Office 365 (O365) Service Principal et Application
- contourner l’authentification multifacteur (MFA) en volant les cookies du navigateur
- voler des informations d’identification à l’aide de Get-ADReplAccount
Le saut d’informations d’identification a été la première étape de l’attaque, permettant à l’auteur de la menace de se connecter à Office 365 à partir d’un serveur interne que les pirates ont atteint via un système public compromis.
CrowdStrike indique que cette technique est difficile à repérer dans les environnements avec peu de visibilité sur l’utilisation de l’identité, car les pirates pourraient utiliser plus d’un compte d’administrateur de domaine.
Le contournement de la MFA pour accéder aux ressources cloud en volant les cookies du navigateur est utilisé depuis avant 2020. CrowdStrike indique qu’APT29 a gardé un profil bas après avoir déchiffré les cookies d’authentification, probablement hors ligne, en utilisant l’extension Cookie Editor pour Chrome pour les rejouer ; ils ont supprimé l’extension par la suite.
« Cette extension a permis de contourner les exigences MFA, car les cookies, relus via l’extension Cookie Editor, ont permis à l’acteur de la menace de détourner la session déjà approuvée par MFA d’un utilisateur ciblé » – FouleStrike
Cela leur a permis de se déplacer latéralement sur le réseau et d’atteindre la prochaine étape de l’attaque, en se connectant au locataire O365 de la victime pour la prochaine étape de l’attaque.
Le rapport de CrowdStrike décrit les étapes qu’APT29 a prises pour parvenir à la persistance dans une position qui leur a permis de lire tous les e-mails et les fichiers SharePoint ou OneDrive de l’organisation compromise.
GoldMax pour Linux et TrailBlazer
Au cours de leur travail de réponse aux incidents sur les attaques APT29 StellarParticle, les chercheurs de CrowdStrike ont utilisé la base de données User Access Logging (UAL) pour identifier l’utilisation antérieure de comptes malveillants, ce qui a conduit à trouver le malware GoldMax pour Linux et TrailBlazer.
CrowdStrike indique que TrailBlazer est une toute nouvelle famille de logiciels malveillants, tandis que GoldMax pour la porte dérobée Linux « est presque identique en termes de fonctionnalités et de mise en œuvre à la variante Windows de mai 2020 précédemment identifiée ».
Les chercheurs pensent que les petites différences entre les deux versions de GoldMax sont dues aux améliorations continues du développeur pour l’évasion de détection à long terme.
GoldMax était probablement utilisé pour la persistance (un crontab avec une ligne « @reboot » pour un utilisateur non root) sur de longues périodes dans les campagnes StellarParticle. La porte dérobée n’a pas été détectée en se faisant passer pour un fichier légitime dans un répertoire caché.
L’implant TrailBlazer s’est également caché sous le nom d’un fichier légitime et il a été configuré pour la persistance à l’aide des abonnements aux événements Windows Management Instrumentation (WMI), une technique relativement nouvelle en 2019, la première date connue pour son déploiement sur les systèmes victimes.
TrailBlazer a réussi à garder secrète la communication avec le serveur de commande et de contrôle (C2) en le masquant comme des requêtes HTTP Google Notifications légitimes.
CrowdStrike note que l’implant a une fonctionnalité modulaire et « une très faible prévalence » et qu’il partage des similitudes avec d’autres familles de logiciels malveillants utilisés par le même acteur de la menace, tels que GoldMax et Sunburst (tous deux utilisés dans l’attaque de la chaîne d’approvisionnement SolarWinds).
Tim Parisi, directeur des services professionnels chez CrowdStrike, a déclaré à EZpublish-france.fr que l’activité secrète des deux logiciels malveillants a retardé la découverte des deux logiciels malveillants, car les chercheurs les ont trouvés à la mi-2021.
Reconnaissance et passage à Office 365
Après avoir obtenu l’accès à l’infrastructure d’une organisation cible et une persistance établie, les pirates APT29 ont profité de chaque occasion pour collecter des renseignements qui leur permettraient de poursuivre l’attaque.
Une tactique constante consistait à tirer des informations des référentiels de connaissances internes de la victime, les soi-disant wikis. Ces documents peuvent contenir des détails sensibles spécifiques à divers services et produits de l’organisation.
«Ces informations comprenaient des éléments tels que l’architecture du produit / service et des documents de conception, des vulnérabilités et des instructions étape par étape pour effectuer diverses tâches. De plus, l’auteur de la menace a consulté des pages liées aux opérations commerciales internes telles que les calendriers de développement et les points de contact. Dans certains cas, ces points de contact ont ensuite été ciblés pour une collecte de données plus approfondie » – FouleStrike
Parisi nous a dit que l’accès aux wikis de l’entreprise était une activité de reconnaissance APT29 courante dans les attaques StellarParticle étudiées.
La plongée approfondie de CrowdStrike dans les campagnes StellarParticle d’APT29 offre des détails sur la façon dont l’acteur de la menace s’est connecté au locataire O365 de la victime via le module Windows Azure Active Directory PowerShell et a effectué des requêtes d’énumération pour les rôles, les membres, les utilisateurs, les domaines, les comptes ou les informations d’identification d’un principal de service.
Lors de l’analyse des entrées du journal, les chercheurs ont remarqué que l’auteur de la menace exécutait également la commande AddServicePrincipalCredentials.
« CrowdStrike a analysé les paramètres de configuration dans le locataire O365 de la victime et a découvert qu’un nouveau secret avait été ajouté à une application d’entreprise Microsoft Azure AD intégrée, Microsoft StaffHub Service Principal, qui disposait d’autorisations au niveau de l’application » – CrowdSrike
L’adversaire avait ajouté un nouveau secret à l’application et fixé sa validité à plus de 10 ans, notent les chercheurs.
Le niveau d’autorisation obtenu de cette manière permet aux pirates d’accéder à tous les fichiers de messagerie et SharePoint/OneDrive de l’entreprise et leur permet de « créer de nouveaux comptes et d’attribuer des privilèges d’administrateur à n’importe quel compte de l’organisation ».
Maintenir la persévérance
Une fois que Cozy Bear/APT29 a établi la persistance dans une organisation cible, ils la maintiennent aussi longtemps que possible, parfois aidés par la mauvaise hygiène de sécurité de l’organisation compromise.
Le temps le plus long que l’acteur de la menace a passé au sein d’une organisation a été de deux ans, a déclaré Parisi à EZpublish-france.fr. Persister aussi longtemps ne serait pas possible sans certains efforts de la part des pirates, car les organisations changent souvent les informations d’identification par mesure de sécurité.
Pour éviter de perdre l’accès, les pirates de Cozy Bear actualisaient périodiquement les informations d’identification volées en en volant de nouvelles, souvent via Mimikatz.
Dans au moins un cas, cependant, les administrateurs de l’entreprise compromise ont réinitialisé leurs mots de passe avec les mêmes, annulant ainsi l’objectif de la rotation des informations d’identification.
Les hackers de Cozy Bear font partie des acteurs de la menace les plus sophistiqués du monde du cyberespionnage, avec les meilleures compétences pour s’infiltrer et rester non détectés sur l’infrastructure d’une entreprise pendant de longues périodes.
Au cours des attaques StellarParticle, ils ont démontré une connaissance approfondie de la gestion d’Azure, d’Office 365 et d’Active Directory.