Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Russie : le groupe Trident Ursa (alias Gamaredon) occupe toujours le terrain de la cyberguerre qui fait rage depuis l’invasion de l’Ukraine

décembre 2022 par Unit42

Depuis la dernière analyse de l’Unit 42 début février à propos du groupe APT (Advanced Persistent Threat) Trident Ursa (alias Gamaredon, UAC-0010, Primitive Bear, Shuckworm), le cyber domaine ukrainien est en proie à des menaces toujours plus nombreuses venues de la Russie. À la manœuvre derrière le groupe Trident Ursa, les services de sécurité ukrainiens ont identifié le Service fédéral de sécurité de la fédération de Russie.

Alors que le conflit se poursuit sur terre et dans le cyberespace, Trident Ursa œuvre sans relâche à la création d’accès et la collecte de renseignements. À ce jour, Trident Ursa se distingue comme une APT remarquablement invasive, intrusive et persistante. Et clairement dirigée contre l’Ukraine.
Compte tenu de la situation géopolitique et des cibles visées par ce groupe APT, les chercheurs de l’Unit 42, cabinet de conseil et unité de recherches sur les menaces de Palo Alto Networks, sont constamment à l’affût des indicateurs qui trahissent la paternité de leurs opérations.

Au cours de cette traque, l’Unit 42 est ainsi parvenue à cartographier plus de 500 nouveaux domaines, 200 modèles et d’autres indicateurs de compromission (IoC) utilisés au cours des 10 derniers mois dans le cadre des tentatives de phishing et d’attaques de malware de Trident Ursa.

L’Unit 42 livre ces informations accompagnées d’IoC connus afin de mettre en avant et de partager leur compréhension globale actuelle des opérations de Trident Ursa. La vigilance exercée sur ces domaines, étayée par des renseignements open source, a permis à l’Unit 42 d’identifier quelques éléments notables :
• Le 30 août a eu lieu une tentative ratée de compromission d’une grande raffinerie de pétrole au sein d’un pays membre de l’OTAN.
• Au lendemain de l’invasion, un individu appartenant vraisemblablement au groupe Trident Ursa a menacé de s’en prendre à un chercheur en cybersécurité basé en Ukraine.
• Plusieurs changements de leurs tactiques, techniques et procédures (TTP).
Trident Ursa s’affirme comme une APT agile et adaptative, et dont les opérations ne reposent pas sur des techniques particulièrement sophistiquées ni complexes. Dans la plupart des cas, les membres du groupe ont en effet recours à des outils et scripts disponibles auprès du grand public, sans compter une part non négligeable d’obfuscation, ainsi qu’à des tentatives de phishing basiques pour l’exécution de leurs opérations.

Ces manœuvres sont régulièrement interceptées par des chercheurs et organisations gouvernementales, ce qui ne semble pas les alarmer outre mesure. Leur réponse consiste simplement à renforcer leur obfuscation, ajouter de nouveaux domaines et multiplier les techniques avant de récidiver, souvent en réemployant des modèles déjà utilisés auparavant.

Ce mode opératoire est le même depuis 2014, et a permis à Trident Ursa de mener à bien ses opérations sans subir aucun ralentissement pendant le conflit. Pour toutes ces raisons, le groupe fait peser une lourde menace sur l’Ukraine, et impose aux pays et à ses alliés d’organiser une défense active.

Quelles mesures de protection ?

Contre Trident Ursa, la meilleure défense se traduit par une posture de sécurité où prime la prévention.
Ainsi, l’Unit 42 recommande aux organisations les mesures suivantes :
• Scannez le réseau et les journaux des terminaux à la recherche d’indicateurs de compromission associés à ce groupe de malfaiteurs.
• Veillez à ce que les solutions de cybersécurité parviennent effectivement à bloquer les IoC de l’infrastructure active.
• Implémentez une solution de sécurité DNS pour détecter et neutraliser les requêtes DNS adressées à l’infrastructure C2 connue. En outre, et en l’absence d’une utilisation spécifique et avérée de certains services, tels que Telegram ou des outils d’analyse des domaines, au sein de l’organisation, ajoutez ces domaines à votre liste noire, ou bien écartez-les de la liste blanche si vous avez opté pour l’approche Zero Trust.
• Renforcez la surveillance des communications du réseau avec AS 197695 (Reg[.]ru).


Voir les articles précédents

    

Voir les articles suivants