En première ligne de la cyber-guerre mondiale : aperçu des principaux groupes APT soutenus par la Russie ciblant l’Ukraine et des règles Sigma pour se défendre proactivement contre leurs TTP

Le Service d’État de la Communication Spéciale et de la Protection de l’Information de l’Ukraine (SSSCIP) a récemment publié un rapport analytique couvrant l’agression cybernétique de la russie contre l’Ukraine en 2022. Le rapport fournit des informations sur les principaux collectifs de hackers qui ont été sous les feux de la rampe depuis le déclenchement de la guerre à grande échelle en Ukraine, analyse les TTP des adversaires pour exécuter des intrusions, et couvre les principales tendances et vecteurs d’attaques illustrant leur activité malveillante pour aider les organisations ukrainiennes et mondiales à se défendre proactivement contre les cyberattaques russes de toute ampleur.

Le 24 février 2022, il y a un peu plus d’un an, la fédération de russie a lancé une invasion offensive de l’Ukraine par terre, air et mer. La guerre s’est également intensifiée dans le cyberespace. En conséquence, nous assistons maintenant à la première cyber-guerre à grande échelle de l’histoire de l’humanité, avec la russie agissant comme un adversaire offensif et l’Ukraine se défendant, elle et ses alliés, sur le front cybernétique. Qualifier ces attaques de cyber-guerre ne semble plus être une métaphore.

Cependant, bien que l’offensive terrestre par les troupes et missiles russes ait été inattendue, la cyberguerre contre l’Ukraine dure depuis presque une décennie, à commencer par une série d’attaques destructrices par le groupe APT Sandworm affilié à la russie utilisant le tristement célèbre malware BlackEnergy en 2015-2016 et le célèbre malware NotPetya en 2017 ciblant le secteur financier ukrainien. Ce que nous voyons aujourd’hui sur le front cyber russe est le résultat de leur stratégie de 30 ans. Le SSSCIP rapporte que le gouvernement de Moscou a développé un large réseau d’affiliés offensifs formés qui peuvent exécuter des commandes militaires, sont équipés de zero-days et possèdent une vaste expérience dans le lancement de campagnes autonomes à faible coût, tandis que les opérations de cyberdéfense restent encore assez coûteuses.

Selon le rapport du SSSCIP et basé sur les estimations du CERT-UA sur les incidents investigués, des acteurs de menace affiliés à la russie ont déployé 2 194 cyberattaques destructrices contre l’Ukraine, dont 52 % (1 148) ont été les plus critiques et de haut niveau, lesquelles ont été efficacement investiguées et atténuées par l’effort collectif de CERT-UA et de leurs partenaires. Les experts en sécurité de Google’s Threat Research Group observent une augmentation de 250 % des attaques contre les actifs ukrainiens en 2022 (par rapport à 2021). Le ciblage, qui a coïncidé et a persisté depuis l’invasion militaire du pays par l’Ukraine en février 2022, a fortement visé le gouvernement et les entités militaires ukrainiennes, ainsi que les infrastructures critiques, les services publics et les secteurs des médias. Mandiant a déclaré avoir observé « plus d’attaques cyber destructrices en Ukraine au cours des quatre premiers mois de 2022 que dans les huit années précédentes, avec un pic autour du début de l’invasion ». Avec l’escalade des opérations offensives cyber de la russie, les défenseurs cyber ont réalisé qu’aucune organisation individuelle ne peut résister seule à l’avalanche d’attaques destructrices soutenues par la russie, ce qui souligne la nécessité d’une collaboration mondiale en matière de cybersécurité pour contrecarrer une agression cyber de cette ampleur.

SOC Prime veille sur la ligne de front de la cyber-guerre mondiale, aidant l’Ukraine et ses alliés à se défendre contre l’agression russe. En coopérant avec CERT-UA et SSSCIP, nous recherchons, développons et testons des règles Sigma sur le champ de bataille réel, livrant plus de 400 pièces de nouveau contenu de détection par mois pour aider à contrecarrer les attaques destructrices de la russie.

La plateforme de SOC Prime pour la défense cyber collective prend en charge plus de 10 000 règles Sigma basées sur le comportement alignées avec le cadre MITRE ATT&CK v12 et facilement partagées à travers plus de 27 solutions SIEM, EDR et XDR. SOC Prime partage publiquement toutes les métadonnées associées à plus de 260,000 algorithmes de détection car le partage d’informations permet à quiconque de bénéficier et de contribuer aux règles Sigma, puisqu’elles décrivent le comportement des adversaires pouvant être utilisé dans toute attaque cybernétique. L’échange d’informations en temps opportun, y compris les TTPs et les modèles de comportement des adversaires, permet aux défenseurs cybernétique de prendre un avantage stratégique dans la guerre cybernétique en cours.

Vous trouverez ici une liste d’algorithmes de détection sélectionnés pour se défendre proactivement contre l’activité malveillante des groupes APT soutenus par la nation russe mentionnés dans l’ enquête SSSCIP en tant qu’acteurs de menace déployant activement des cyberattaques destructrices contre plusieurs secteurs industriels en Ukraine au cours de 2022.

Toutes les règles Sigma sont alignées avec le cadre MITRE ATT&CK v12 et sont compatibles avec les technologies SIEM, EDR et XDR leaders de l’industrie. Les défenseurs cybernétique peuvent instantanément plonger dans un contexte de menace cybernétique pertinent pour les liens ATT&CK et CTI pertinents, les atténuations et les métadonnées opérationnelles pour accélérer leur enquête sur les menaces.

Détection de l’activité des adversaires Gamaredon APT (UAC-0010)

Selon le rapport SSSCIP analysant l’activité des collectifs de hacking parrainés par l’État tout au long de 2022, Gamaredon APT peut être considéré comme le groupe le plus actif et le plus persistant sur la base des incidents enregistrés au cours du second semestre 2022. Au cours de cette période, les acteurs de menace ont principalement ciblé leurs opérations offensives sur le secteur militaire, sécuritaire et de la défense de l’Ukraine, ainsi que sur les institutions gouvernementales.

Ce groupe affilié à la russie et soutenu par la nation est suivi sous une variété de pseudonymes, y compris Armageddon APT alias UAC-0010, Trident Ursa, Shuckworm, et Primitive Bear. Selon le Service de sécurité de l’Ukraine, l’activité du groupe est attribuée au Service fédéral de sécurité de la russie ciblant les opérations de renseignement et subversives contre l’Ukraine et les alliés de l’OTAN sur le front cybernétique. Suivez le lien ci-dessous pour accéder à l’ensemble complet des règles Sigma pour détecter l’activité malveillante associée :

Règles Sigma pour détecter les TTPS utilisés dans les cyberattaques liées à UAC-0010

Détection des campagnes malveillantes de Sandworm APT (UAC-0082)

Un autre collectif de hacking qui a été sous les projecteurs tout au long de 2022 est l’unité 74455 notoire affiliée au GRU connue sous le nom de groupe APT Sandworm, qui est également suivie en tant que UAC-0082 par CERT-UA. Au cours de la période observée, le groupe a principalement jeté son dévolu sur les organisations ukrainiennes dans les secteurs de la logistique et du transport, des médias et de l’énergie.

Mi-avril 2022, CERT-UA, en collaboration avec Microsoft et ESET, a émis une alerte couvrant la deuxième attaque de panne de courant dans l’histoire humaine attribuée à UAC-0082. Dans cette attaque, les hackers russes ont exploité Industroyer2, une nouvelle version de la néfaste famille de malwares Industroyer, en conjonction avec un malware d’effacement de données nommé CaddyWiper. Ce dernier est entré en scène durement sur les talons des attaques cyber utilisant HermeticWiper and WhisperGate malware, illustrant la tendance à l’effacement dans le paysage des menaces ukrainiennes pour le second semestre 2022. Ci-dessous, vous pouvez trouver la liste complète des règles Sigma pour détecter l’activité malveillante de UAC-0082 alias Sandworm Group.

Règles Sigma pour détecter l’activité des adversaires du groupe UAC-0082

Détection de l’activité malveillante du groupe UAC-0056

Les acteurs de menace identifiés comme UAC-0056 ont également activement ciblé les organisations ukrainiennes depuis l’invasion à grande échelle de l’Ukraine par la russie, concentrant principalement leurs campagnes malveillantes sur les secteurs gouvernemental et bancaire. Ce collectif de hacking était derrière d’énormes attaques de phishing au printemps 2022, utilisant Cobalt Strike Beacon, GrimPlant, et les malwares GraphSteel. Pour défendre proactivement l’infrastructure de votre organisation contre les intrusions liées au groupe UAC-0056, la plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma spécialisés disponibles via un lien ci-dessous :

Règles Sigma pour détecter les TTPs liés à l’activité malveillante des hackers UAC-0056

Détection de l’activité des adversaires attribuée au groupe UAC-0020

Vermin, également suivi en tant que UAC-0020, est un autre collectif de hacking qui a fait sensation dans le domaine des menaces cyber ukrainiennes depuis 2022, lié aux opérations offensives soutenues par la russie. De manière similaire au groupe Sandworm APT, les acteurs malveillants Vermin ciblaient les secteurs militaires, sécuritaires et de la défense durant 2022.

Les chercheurs en cybersécurité attribuent ce groupe à la prétendue République Populaire de Louhansk (RPL), un état autoproclamé non reconnu dans la région du Donbass en Ukraine de l’Est. Selon l’enquête, Vermin est un groupe soutenu par l’État agissant comme une unité opérationnelle de la guerre cybernétique russe sur le front de la guerre cybernétique mondiale. Les défenseurs cybernétique peuvent accéder instantanément à l’ensemble complet des règles Sigma pour détecter en temps opportun les menaces existantes et émergentes attribuées aux cybercriminels liés à UAC-0020 en suivant le lien ci-dessous :

Règles Sigma pour détecter les opérations malveillantes liées aux acteurs UAC-0020

Détection des cyberattaques contre l’Ukraine liées aux acteurs UAC-0142

Un autre groupe de hackers ciblant les secteurs militaires, sécuritaires et de la défense est suivi en tant que UAC-0142, qui a principalement exploité le vecteur d’attaque par phishing dans les cyberattaques pendant 2022. À la fin de 2022, les acteurs malveillants visaient à pirater le système de connaissance de la situation de l’État appelé DELTA, qui est utilisé pour faciliter la coordination des forces militaires sur le champ de bataille. Pour identifier en temps opportun les intrusions malveillantes liées aux acteurs de menace UAC-0142, la plateforme SOC Prime offre une collection complète de règles Sigma pertinentes disponibles via un lien ci-dessous :

Règles Sigma pour se défendre proactivement contre les cyberattaques du groupe UAC-0142

Les experts en sécurité peuvent profiter de la collection complète de règles Sigma contre les APT soutenues par la nation russe avec 50 algorithmes de détection uniques de leur choix. Profitez de l’ abonnement caritatif Sigma2SaveLives avec 100 % des revenus donnés pour fournir une aide ciblée au peuple ukrainien et pour toujours garder une longueur d’avance sur les acteurs de menace affiliés à la russie.