Les opérations de cyberguerre russes par Trident Ursa ou APT Gamaredon sont restées actives depuis l'invasion de l'Ukraine. En outre, il y a eu une tentative d'attaque contre une importante raffinerie de pétrole dans un État membre de l'OTAN.
L'Ukraine est confrontée à une escalade des cybermenaces de la part de la Russie depuis début février, lorsque l'unité 42 de Palo Alto Networks a fait de nombreux reportages sur le groupe APT Trident Ursa (alias Gamaredon, UAC-0010, Primitive Bear, Shuckworm). Trident Ursa est un groupe affilié à l'agence russe de renseignement intérieur FSB. Alors que le conflit se poursuit sur le terrain et dans le cyberespace, Trident Ursa reste l'un des APT les plus répandus, les plus actifs et les plus ciblés ciblant l'Ukraine.
500 nouveaux domaines comme plateforme d'attaque
Compte tenu de la situation géopolitique actuelle et de la cible spécifique de ce groupe APT, les chercheurs de l'Unité 42 continuent de rechercher activement des indicateurs d'opérations. Ce faisant, ils ont identifié plus de 500 nouveaux domaines, 200 échantillons et autres IoC (indicateurs de compromission) prenant en charge les diverses cibles de phishing et de logiciels malveillants de Trident Ursa au cours des dix derniers mois. En surveillant ces domaines ainsi que les informations open source, les chercheurs ont remarqué plusieurs activités notables :
- Une tentative infructueuse le 30 août 2022 de compromettre un important raffineur dans un État membre de l'OTAN.
- Une personne apparemment liée à Trident Ursa a menacé un chercheur ukrainien en cybersécurité immédiatement après l'invasion initiale.
- Plusieurs modifications des tactiques, techniques et procédures (TTP).
Conclusions de l'enquête
Trident Ursa reste un APT agile et adaptable qui n'utilise pas de techniques trop sophistiquées ou complexes dans ses opérations. Dans la plupart des cas, le groupe s'appuie sur des outils et des scripts accessibles au public, ainsi qu'un degré important d'obscurcissement, ainsi que sur des tentatives de phishing de routine pour mener à bien ses opérations.
Celles-ci sont régulièrement découvertes par des chercheurs et des organisations gouvernementales, dont le groupe ne semble pas s'inquiéter. Il ajoute simplement des obfuscations supplémentaires, de nouveaux domaines et de nouvelles techniques, et essaie à nouveau, souvent même en réutilisant les modèles précédents. Trident Ursa fonctionne de cette manière depuis au moins 2014 et n'a montré aucun signe de ralentissement pendant cette période de conflit. Pour toutes ces raisons, il reste une menace importante pour l'Ukraine et ses alliés.
Actions de protection et de réparation
La meilleure défense contre Trident Ursa est une position de sécurité qui privilégie la prévention. Unit 42 recommande aux entreprises de prendre les mesures suivantes :
- Analyse des journaux du réseau et des points finaux à la recherche d'indicateurs d'indicateurs de compromission associés à ce groupe de menaces.
- Assurez-vous que les solutions de cybersécurité bloquent efficacement les IoC actifs de l'infrastructure.
- Mise en place d'une solution de sécurité DNS pour détecter et atténuer les requêtes DNS pour les infrastructures C2 connues. À moins qu'une entreprise n'ait un cas d'utilisation spécifique pour des services tels que la messagerie Telegram et les outils de recherche de domaine dans son environnement professionnel, ces domaines doivent être ajoutés à la liste de blocage. Dans le cas des réseaux Zero Trust, les domaines ne doivent pas être inclus dans la liste des domaines autorisés.
- Application d'une vérification supplémentaire à tout le trafic réseau communiquant avec AS 197695(Reg[.]ru).
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.