News
Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive
juillet 2022 par Unit 42/Palo Alto Networks
Dans le monde entier, des entreprises font confiance à des services de stockage tels que DropBox et Google Drive pour leurs opérations quotidiennes. Cette confiance est pourtant mise à mal par des acteurs malveillants qui, comme le montrent les dernières recherches, de l’Unit 42 (cabinet de conseil, unité de recherches et d’analyses sur les menaces cyber de Palo Alto Networks) redoublent d’ingéniosité pour exploiter la situation au profit d’attaques extrêmement difficiles à détecter et à prévenir. Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 connait et suit sous le nom de Cloaked Ursa (également appelée APT29, Nobelium ou Cozy Bear) ont donné à voir un niveau de sophistication inédit ainsi que des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.
Ce groupe n’en est d’ailleurs pas à son coup d’essai dans le détournement de services cloud légitimes et fiables. Au fil de leurs recherches, l’Unit 42 a découvert que leurs deux campagnes les plus récentes exploitaient pour la première fois les services de stockage Google Drive. La réplication des données opérée sur le cloud Google Drive, à laquelle s’ajoute la confiance de millions de clients à travers le monde, rend les opérations de ce malware particulièrement inquiétantes. En effet, lorsque l’utilisation de services fiables est associée au chiffrement, comme c’est le cas ici, il devient bien plus difficile pour les entreprises de détecter les activités malveillantes en lien avec la campagne.
Depuis longtemps, le secteur de la cybersécurité considère la menace Cloaked Ursa comme affiliée au gouvernement russe. Ce lien expliquerait notamment la mission historique du groupe, qui remonte aux campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique. Un autre des faits d’armes plus récents attribués au groupe est le piratage du Comité national démocrate (DNC) des États-Unis, en 2016, de même que la cyberattaque SolarWinds de 2020 qui a compromis toute une chaîne d’approvisionnement.
Plus précis quant à l’identification des auteurs de l’attaque, les États-Unis comme le Royaume-Uni ont publiquement pointé du doigt le Service des renseignements extérieurs de la Fédération de Russie (SVR), c’est-à-dire les activités d’espionnage. Les dernières campagnes de cet acteur ont servi à faire croire qu’un rendez-vous se préparait avec un ambassadeur. L’Unit 42 pense que ces campagnes ciblaient des missions diplomatiques occidentales qui se sont déroulées entre mai et juin 2022. Les leurres inclus dans ces campagnes suggèrent qu’une ambassade étrangère au Portugal, ainsi qu’une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.
Les clients Palo Alto Networks bénéficient d’une protection contre les indicateurs de compromission (IoC) décrits dans cette analyse grâce à l’application Cortex XDR, au filtrage avancé des URL, au service DNS Security et à la prévention des malwares par WildFire.
La première visualisation de ces techniques, les actions entreprises et les IoC en lien avec ce rapport se trouvent dans le guide ATOM de Unit 42 sur la détection et la neutralisation des menaces. Palo Alto Networks a révélé ces activités à Google et DropBox, qui ont pris les mesures nécessaires pour les bloquer.
