11/02/2017

Analyse des attaques APT28 et APT29

Le département américain Homeland Security vient de publier un document expliquant les différentes méthodes d'attaques utilisées par les groupes de pirates russes (APT28, APT29) en amont des élections américaines.


Ce document est très bien détaillé et explique que ces groupes ont réellement suivi une approche structurée pour mener leurs intrusions.

On y découvre également les méthodes d'attaques utilisées, toute la panoplie y est ! Spear-phishing, watering hole, SQL injection, XSS, malwares, backdoor powershell, webshell...

On découvre que : 

- l'une des méthodes était d'insérer les malwares au sein de d'executable légitime : des logiciels piratés disponibles sur les réseaux de téléchargement torrents. 

- Les canaux de command&control pointaient parfois sur des IP TOR.

- Les groupes APT28/APT29 utilisaient des infrastructures publiques (TOR, mais également des serveurs web légitimes mais piratés) pour cacher leur origine. C'est ce qui est représenté comme "Neutral Space" dans le schéma ci-dessous tiré du document.

- Que la technique dite du "watering hole" était largement utilisé ("le point d'eau où les victimes viennent boire de l'eau empoisonnée"). Il s'agit de construire un site ressemblant à un site légitime (images, style) avec un nom de domaine ressemblant (typo-squatting) et d'attendre que les victimes tombent dessus par erreur et y saisissent leurs mots de passe. Il est possible d'aider les victimes à tomber sur ce point d'eau en les incitant via des emails bien formulés. Les logins et les mots de passe ainsi volés, étaient alors réutilisés pour s'introduire dans les systèmes cibles. Le groupe APT28 semble être les spécialistes de cette technique simple, mais efficace sur le long terme.





La question que je me pose ici : pourquoi le département américain choisit de publier ces informations en pointant clairement du doigt les services de renseignement russes ? Nous sommes clairement dans une guerre froide digitale, où la communication devient une arme.

Aucun commentaire:

Enregistrer un commentaire