Détection des Attaques de l’Unité 29155 : la Division du Renseignement Militaire Affiliée à la Russie Cible les Infrastructures Critiques à Travers le Monde
Table des matières :
Les groupes de hackers notoires affiliés à la Russie posent des défis considérables aux forces défensives, améliorant continuellement leurs TTP adversaires et perfectionnant les techniques d’évasion de détection. Suite à l’éclatement de la guerre totale en Ukraine, les collectifs APT soutenus par la Russie sont particulièrement actifs en utilisant le conflit comme terrain d’essai pour de nouvelles approches malveillantes. En outre, des méthodes éprouvées sont exploitées contre des cibles majeures d’intérêt pour le gouvernement de Moscou dans le monde entier. Par exemple, en octobre 2023, l’APT28 russe a piraté les secteurs public et privé en France, utilisant les mêmes vulnérabilités et TTP qu’en Ukraine durant 2022-2023.
Le plus récent avis conjoint de la CISA, de la NSA et du FBI avertit une fois de plus les défenseurs cybernétiques de la menace croissante posée par les acteurs affiliés à la Russie. Plus précisément, l’unité de renseignement militaire liée à la Direction principale du renseignement de l’état-major général russe (GRU) et suivie sous le nom d’Unité 29155 est responsable d’une opération offensive de longue durée contre les secteurs d’infrastructure critique aux États-Unis et dans le monde entier. Les opérations ont commencé en janvier 2022 quand des acteurs cybernétiques ont déployé le malware WhisperGate contre de multiples organisations en Ukraine. En parallèle de ces opérations comme WhisperGate et d’autres cyberattaques ciblant l’Ukraine, des acteurs cybernétiques ont mené des opérations réseau contre plusieurs membres de l’OTAN à travers l’Europe et l’Amérique du Nord, ainsi que dans différents pays en Europe, en Amérique latine et en Asie centrale.
Détecter les attaques de l’Unité 29155
La menace croissante posée par les collectifs APT exige une ultra-réactivité des défenseurs cybernétiques pour détecter les attaques en temps réel et prendre des mesures proactives contre les intrusions potentielles. Pour rester en avance sur les opérations malveillantes orchestrées par l’Unité 29155 (également connue sous le nom de Cadet Blizzard, Ember Bear, UAC-0056), les professionnels de la sécurité peuvent exploiter la plateforme SOC Prime pour la défense cybernétique collective. La plateforme propose une collection de règles Sigma dédiées traitant des TTP de l’attaquant couplées à des solutions avancées de détection et de chasse aux menaces pour faciliter l’investigation des menaces.
Appuyez sur le bouton Explorer Détections ci-dessous et plongez immédiatement dans une pile de détection sur mesure adressant les TTP de l’Unité 29155 décrits dans l’avis AA24-249A. Les règles sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake et sont conçues en fonction du cadre MITRE ATT&CK®. De plus, les règles sont enrichies de métadonnées exhaustives, notamment des renseignements sur les menaces , des chronologies d’attaque et des recommandations.
Les défenseurs cybernétiques cherchant plus de règles pour aborder les TTP liés à l’Unité 29155 peuvent rechercher sur le marché de détection des menaces en utilisant des balises personnalisées basées sur les identifiants du groupe : « Cadet Blizzard », « DEV-0586 », « Ember Bear », « Frozenvista », « UNC2589 », « UAC-0056 », « Unité 29155 ».
Comme l’Unité 29155 du GRU a tendance à exploiter un ensemble de vulnérabilités connues pour la reconnaissance et l’accès initial, les praticiens de la sécurité peuvent accéder à des collections dédiées de règles Sigma traitant des tentatives d’exploitation de CVE en lumière à l’aide des liens ci-dessous.
Règles Sigma pour détecter les tentatives d’exploitation CVE-2020-1472
Règles Sigma pour détecter les tentatives d’exploitation CVE-2021-26084
Règles Sigma pour détecter les tentatives d’exploitation CVE-2021-3156
Règles Sigma pour détecter les tentatives d’exploitation CVE-2021-4034
Règles Sigma pour détecter les tentatives d’exploitation CVE-2022-26138
Règles Sigma pour détecter les tentatives d’exploitation CVE-2022-26134
De plus, le groupe utilise principalement des techniques standard de red-team et des outils largement disponibles tels que Raspberry Robin et SaintBot, partageant fréquemment des tactiques avec d’autres acteurs cybernétiques. Cette chevauchement complique les efforts pour attribuer précisément leurs activités. Pour détecter les attaques impliquant des outils en vogue, les défenseurs cybernétiques peuvent se référer aux listes de règles ci-dessous.
Règles Sigma détectant une activité malveillante associée à SaintBot
Règles Sigma détectant une activité malveillante associée à Raspberry Robin
Pour rationaliser l’enquête sur les menaces, les professionnels de la sécurité peuvent utiliser Uncoder AI, le premier copilote IA de l’industrie pour l’ingénierie de la détection, pour chasser instantanément les indicateurs de compromission fournis dans l’avis associé. Uncoder AI agit comme un empaqueteur d’IOC, permettant aux défenseurs cybernétiques d’interpréter sans effort les IOC et de générer des requêtes de chasse personnalisées. Ces requêtes peuvent ensuite être intégrées de manière transparente dans leurs systèmes SIEM ou EDR préférés pour une exécution immédiate.
Analyse des attaques de l’Unité 29155
The AA24-249A émis par l’Agence pour la cybersécurité et la sécurité des infrastructures des États-Unis (CISA), l’Agence de sécurité nationale (NSA) et le Federal Bureau of Investigation (FBI) le 5 septembre 2024 mettant en garde les défenseurs cybernétiques contre l’opération offensive massive orchestrée par les acteurs cybernétiques affiliés à la Russie liés au Centre de formation spécialisé 161ème du GRU (Unité 29155).
Le NCSC du Royaume-Uni a révélé que l’Unité 29155 se compose principalement de jeunes officiers du GRU en service actif, mais recrute également des personnes extérieures au GRU, y compris des cybercriminels connus et des facilitateurs, pour mener ses opérations. Ce groupe opère différemment des unités cybernétiques GRU plus en vue, telles que l’Unité 26165 (Fancy Bear) et l’Unité 74455 (Sandworm).
En janvier 2022, des acteurs cybernétiques du GRU ont déployé le destructeur WhisperGate dans des attaques contre l’Ukraine, paralysant les actifs en ligne du gouvernement du pays. Au 17 janvier 2022, jusqu’à 70 sites Web ont connu des problèmes de performance temporaires en raison de l’intrusion, y compris le Cabinet, sept ministères, le Trésor, le Service national des urgences et les services d’état. De plus, de multiples organisations à but non lucratif et des grandes entreprises informatiques ukrainiennes ont été victimes de l’attaque.
L’avis note également que l’Unité 29155 a étendu ses opérations malveillantes aux pays européens, à l’Amérique latine et à l’Asie centrale, ciblant fréquemment les membres de l’OTAN. Leurs campagnes de cyberespionnage, de sabotage et de désinformation se concentrent principalement sur les secteurs gouvernemental, financier, du transport, de l’énergie et de la santé dans des régions d’intérêt stratégique pour Moscou. Les activités de l’Unité 29155 comprenaient des défigurations de sites web, des analyses d’infrastructure, des exfiltrations de données et des fuites d’informations visant à saper les systèmes critiques et les réputations. Selon le FBI, plus de 14 000 instances de balayage de domaines ont été détectées à travers au moins 26 membres de l’OTAN et plusieurs pays de l’UE supplémentaires.
Les acteurs cybernétiques de l’Unité 29155 ont été identifiés ciblant les plages IP associées à divers organismes gouvernementaux et d’infrastructure critique. Ils ont utilisé plusieurs outils disponibles publiquement tels qu’Acunetix, Nmap, VirusTotal, Shodan, DroopeScan, JoomScan pour identifier les ports ouverts, les services et les vulnérabilités dans les réseaux ciblés, obtenir des sous-domaines pour poursuivre les attaques, découvrir des machines d’intérêt, etc.
Les acteurs cybernétiques de l’Unité 29155 mènent des reconnaissances sur les réseaux des victimes pour identifier les vulnérabilités dans les serveurs web et les machines. Ils acquièrent des scripts d’exploitation CVE depuis GitHub mais ont été observés les utilisant principalement pour la reconnaissance plutôt que pour l’exploitation. Les CVE notables qu’ils ont acquis incluent CVE-2020-1472, CVE-2021-3156, CVE-2022-26134, et bien d’autres.
En outre, le groupe emploie des techniques de red-team courantes et des outils largement accessibles comme Raspberry Robin et SaintBot pour poursuivre leurs opérations malveillantes. Leur utilisation de ces techniques chevauche souvent celles d’autres acteurs cybernétiques, rendant difficile d’attribuer leurs activités avec précision.
Pour minimiser les risques des attaques de l’Unité 29155, les défenseurs recommandent d’appliquer des correctifs pour les CVE utilisées par le groupe, de segmenter les réseaux pour prévenir la propagation de l’activité malveillante et d’activer l’authentification MFA pour tous les actifs accessibles via le web. Le détecteur d’attaques SOC Prime aide les organisations à optimiser leur posture de cybersécurité en obtenant une visibilité complète sur les menaces et en améliorant la couverture de détection, en accédant à des règles de haute qualité et faibles en faux positifs pour l’alerte, et en permettant la chasse automatisée des menaces.
