Détection de l’Attaque Seashell Blizzard : Une Campagne de Cyber-Espionnage de Longue Durée “BadPilot” par un Groupe de Hackers Lié à la Russie
Table des matières :
Un groupe APT russe néfaste, Seashell Blizzard également connu sous le nom de APT44 mène des campagnes de cybersécurité mondiales depuis au moins 2009. Les défenseurs ont récemment repéré une nouvelle campagne d’accès de longue durée appelée “BadPilot”, renforçant l’accent du groupe sur l’infiltration initiale discrète et utilisant un ensemble de techniques avancées d’évasion de détection.
Détecter les attaques de Seashell Blizzard
Depuis plus d’une décennie, le groupe APT Seashell Blizzard soutenu par la Russie – également suivi sous les noms UAC-0145, APT44 ou Sandworm – cible persistamment l’Ukraine, se concentrant sur des secteurs critiques. Depuis l’invasion à grande échelle, cette unité militaire de cyber-espionnage liée au GRU a intensifié son activité, utilisant l’Ukraine comme terrain d’essai pour affiner ses TTP malveillants avant d’étendre ses campagnes offensives à des cibles mondiales.
Plateforme SOC Prime pour la défense cyber collective équipe les professionnels de la sécurité avec un ensemble d’algorithmes de détection triés sur le volet pour résister de manière proactive aux opérations de Seashell Blizzard soutenues par une suite de produits complète pour l’ingénierie de détection AI, la chasse aux menaces automatisée et la détection avancée des menaces. Cliquez simplement sur le bouton Explorez les détections ci-dessous et plongez immédiatement dans une pile de détection pertinente.
Toutes les règles sont compatibles avec plusieurs plateformes SIEM, EDR et Data Lake et sont alignées sur MITRE ATT&CK pour rationaliser l’investigation des menaces. De plus, chaque règle est enrichie avec de vastes métadonnées, incluant CTI références, chronologies d’attaque, recommandations de triage, configurations d’audit, et plus encore.
Pour plus de contenu de détection contre les activités malveillantes associées au collectif infâme de cyber-espionnage lié à la Russie, connu sous divers pseudonymes et identifiants, appliquez les balises suivantes “Sandworm,” “APT44,” ou “Seashell Blizzard” pour simplifier votre recherche sur la plateforme SOC Prime.
Analyse des opérations de Seashell Blizzard
Seashell Blizzard également suivi sous le nom de APT44, Sandworm, Voodoo Bear, ou UAC-0082, est un collectif de hackers russes à fort impact lié à l’unité 74455 du GRU. Actifs depuis plus d’une décennie, les acteurs de la menace ont mené des campagnes d’adversaires répandues ciblant des organisations aux États-Unis, au Canada, en Australie, en Europe et en Asie.
Connu pour maintenir un accès discret aux systèmes impactés, les adversaires utilisent un mélange d’outils open-source et développés sur mesure pour mener à bien le cyber-espionnage. Le groupe montre un intérêt marqué pour les environnements ICS et SCADA, avec des attaques précédentes ayant entraîné de grandes perturbations dans les infrastructures essentielles, ayant un impact notable sur les systèmes énergétiques.
Les chercheurs d’AttackIQ ont récemment mis en lumière la campagne BadPilot du groupe, une opération furtive et prolongée visant à pénétrer les réseaux ciblés. La campagne tire principalement parti d’emails de spear-phishing et de failles de sécurité pour infiltrer les systèmes. Après avoir obtenu un point d’appui, l’accès est souvent transmis à d’autres adversaires au sein du groupe pour poursuivre l’exploitation et la collecte de renseignements.
Notamment, Seashell Blizzard a ciblé l’Ukraine depuis l’invasion à grande échelle de l’Ukraine par la Russie. En avril 2022, CERT-UA, aux côtés de Microsoft et ESET, a émis un avertissement concernant la deuxième panne d’électricité jamais causée par une cyberattaque, remontée à UAC-0082 (alias Seashell Blizzard). Les attaquants ont utilisé Industroyer2, une nouvelle variante du malware Industroyer infâme, en association avec le notoire malware CaddyWiper.
Dans la dernière campagne BadPilot, les hackers emploient des techniques hautement persistantes pour maintenir l’accès, même après des redémarrages de système ou des changements de mot de passe, en modifiant ou en créant des services Windows. Ils y parviennent en utilisant des utilitaires Windows intégrés, spécifiquement l’outil en ligne de commande sc, de manière à pouvoir configurer et confirmer de nouveaux services. Pour rester sous le radar, ils abusent également du composant BITS de Windows, leur permettant de déployer furtivement des échantillons de malware pendant les périodes d’activité système réduite, se fondant dans les opérations réseau normales.
Pour minimiser les risques liés aux opérations de Seashell Blizzard, les équipes de sécurité doivent évaluer constamment leurs défenses. Plateforme SOC Prime pour la défense cyber collective offre une suite de produits prête pour l’entreprise et résiliente au futur, soutenue par l’IA, l’automatisation, et des renseignements sur les menaces exploitables pour garantir aux entreprises un avantage compétitif face à l’augmentation des capacités adverses.
