Phishing : les nouvelles techniques russes

Posté le Sécurité Informatique
Phishing Russe

Où sont passés les Russes ?

Une des questions qui s’est posée après les dernières élections de mi-mandat aux États-Unis était : mais où sont donc passés les Russes ? Même si les hackers du services de renseignement russe (GRU) n’ont pas interféré directement, ils semblent être plus actifs que jamais. En effet, de nouvelles recherches montrent que deux groupes russes de hacking ont développé conjointement quelques innovations concernant le Phishing. Et sont apparemment entrain de travailler ensemble pour étendre leur portée.

Le Phishing APT28

Un groupe de hackers pour le moins prolifique – APT28, aussi connu comme « Fancy Bear » (souvenez-vous) – possède de nouveaux outils de phishing dans son arsenal. C’est en en tout cas ce qu’à trouvé la société de cybersécurité Palo Alto Networks. Ainsi, un Trojan inséré dans une pièce jointe piégée, qui se sert des techniques « classiques » pour envoyer des informations sur le système visé à un serveur à distance, a été détourné de son utilisation actuelle.

APT28 est connu pour faire constamment évoluer ses outils. Et aussi pour utiliser des méthodes démodées afin d’en faire quelque chose de nouveau qui passe inaperçu. Et leur nouveau cheval de Troie « Cannon », est issu de ces deux méthodes. Ainsi, le malware communique avec son serveur de contrôle par email émis depuis une connexion cryptée. Donc personne ne peut les lire lorsqu’ils sont envoyés. Les hackers utilisent toutes sortes de moyens de communication pour les contrôles et les commandes. Par exemple des communications cachées dans le trafic du réseau de la victime. Ou encore le portage sur des sites web compromis, ou même la manipulation de requêtes standards de protocoles internet.

L’utilisation d’email pour communiquer est une technique qui était très en vogue il y a plusieurs années. Mais qui n’est plus utilisée depuis longtemps. Depuis, les hackers sont passés à d’autres techniques. Principalement parce que celle-ci est devenue trop connue.

Un exemple de document corrompu par Cannon a été découvert, mais il n’était qu’une petite partie d’une plus large campagne de Phishing d’APT28. Celle-ci ciblant l’Amérique du Nord, l’Europe, et un autre état de l’ancienne URSS (pas d’autres détails concernant cette nation).

Le Phishing APT29

De plus, une campagne intensive de phishing semble avoir été lancée la semaine dernière, provenant du groupe APT29 (ou Cozy Bear). Ce sont d’ailleurs les mêmes hackers qui avaient interféré dans les élections américaines de 2016. Mais ils semblaient s’être « endormis » depuis 2017.

En partie à cause de cette inactivité, il est difficile de dire si c’est vraiment le même groupe qui est à l’origine aujourd’hui de cette campagne. Même si c’est très probable. D’autant qu’il est courant que les groupes de hackers profitent de la cohue provoquée par leurs méfaits pour mener en douce d’autres actions. Surtout si vous êtes russes et que vous vous souciez peu des répercussions…

Et APT29 a vraisemblablement utilisé cette technique pour cibler un grand nombre d’entités internationales durant ces dernières semaines. Comme des médias, réseaux de transport, groupes pharmaceutiques, groupes militaires etc. Non seulement ils s’attaquent à la fois à des particuliers et à des entreprises, mais leurs campagnes sont créées et personnalisées pour des « individus » en particulier. Au contraire de sélectionner les collaborateurs d’une organisation au hasard.

Leurs messages contiennent un lien de téléchargement d’une backdoor Windows. Cet outil de défense bien connu a ainsi été transformé en malware, appelé Cobalt Strike, utilisé par un grand nombre de hackers. D’ordinaire, APT29 s’appuie sur des malwares personnalisés. Mais ils semblent passer à des malwares tout prêts, suivant la tendance actuelle d’utiliser des outils déjà disponibles.

Leur attaque était ainsi minutieusement préparée, prouvant que les cibles ont soigneusement été sélectionnées. APT29 est aussi connu pour choisir des cibles précises pour augmenter leurs chances de récupérer les data qu’ils recherchent.

Des signes ?

Toutefois, il est possible que les similarités observées entre les campagnes de Phishing de FireEye et les dernières actions d’APT29 ne signifient rien. Et qu’elles servent justement à orienter l’attention vers les hacking Russe.

Malgré toutes les mesures de cybersécurité prises, ce n’est malgré tout pas étonnant de voir ces groupes continuer leurs actions.

Partagez cet article !