Les acteurs cyber militaires russes ciblent l'infrastructure critique des États-Unis et du monde entier
Le FBI, CISA et NSA ont identifié l'unité GRU 29155 de la Russie comme responsable des opérations cyber contre des entités mondiales depuis 2020, visant l'espionnage, le sabotage et la réputation. Cette unité, distincte d'autres groupes cyber GRU, a déployé le malware destructeur WhisperGate contre des organisations ukrainiennes en janvier 2022. Pour atténuer cette menace, les organisations doivent privilégier les mises à jour système, la segmentation du réseau et l'authentification à plusieurs facteurs. Ce guide pratique expose les tactiques, techniques et procédures employées par l'unité 29155, y compris leur utilisation d'outils et de vulnérabilités publics.Le FBI estime que les acteurs cyber de l'unité 29155 sont de jeunes officiers GRU qui gagnent de l'expérience à travers des opérations cyber et comptent sur des individus non-GRU pour leur soutien. L'industrie de la cybersécurité suit ce groupe sous divers noms, tels que Cadet Blizzard, Ember Bear et Frozenvista.En plus de l'Ukraine, l'unité 29155 a ciblé des membres de l'OTAN et d'autres pays en Europe, en Amérique latine et en Asie centrale. Leurs activités comprennent des défacements de sites web, des scans d'infrastructure, des exfiltrations de données et des fuites de données publiques. Depuis le début de 2022, leur focus s'est déplacé vers la perturbation de l'aide à l'Ukraine.Le FBI a observé plus de 14 000 instances de scan de domaine dans 26 pays membres de l'OTAN et plusieurs pays de l'UE. L'unité 29155 cible les secteurs d'infrastructure critique, y compris les services gouvernementaux, la finance, les transports, l'énergie et la santé. Leurs techniques de reconnaissance comprennent l'utilisation d'outils comme Acunetix, Amass, MASSCAN et Shodan pour scanner les vulnérabilités et collecter des informations. Ils ont été observés en train d'obtenir des scripts d'exploitation pour divers CVE et de les utiliser pour accéder initialement. Le groupe utilise fréquemment des techniques de red teaming courantes et des outils publics, comptant sur les forums sombres pour obtenir des malwares et des chargeurs. Ils ont exploité des vulnérabilités dans les caméras IP Dahua pour contourner l'authentification et ont exfiltré des données. L'unité 29155 a employé diverses méthodes pour le mouvement latéral, y compris l'utilisation de Shodan pour identifier les appareils IoT et l'exploitation de vulnérabilités dans les caméras IP pour accéder et vider les paramètres de configuration. Le guide pratique fournit une liste d'indicateurs de compromission (IOCs) pour aider à identifier et à atténuer les menaces potentielles associées à ce groupe.