JKstock - stock.adobe.com
EDR : la prochaine campagne d’évaluation du Mitre se penchera sur APT29
L’organisation va confronter plusieurs solutions de détection et de remédiation sur les hôtes de l’infrastructure à la simulation d’une attaque conduite par le groupe aussi connu sous les noms Cozy Bear et Dukes.
Le Mitre repart en campagne pour évaluer les solutions de détection et de remédiation sur les hôtes du système d’information (EDR). Après une première vague basée sur une émulation du groupe APT3, dont les résultats, particulièrement riches, ont été publiés début décembre, l’organisation prévoit d’invoquer le groupe APT29, aussi appelé Cozy Bear et Dukes. F-Secure avait partagé le fruit de ses recherches sur ce groupe en septembre 2015, emboîtant le pas à FireEye. Ce groupe est soupçonné d’être lié au renseignement russe et d’avoir participé à l’espionnage du parti démocrate américain.
Dans un billet de blog, le Mitre explique qu’APT 29 « constitue un bon choix pour notre prochaine émulation parce que ce groupe est pertinent pour de nombreuses organisations et met au défi nos défenses collectives ». Surtout, l’organisme appel au partage d’informations sur ce groupe. Car l’émulation d’APT3 s’était avérée incomplète et « notre plan n’était pas aussi réaliste qu’il aurait pu l’être dans quelques domaines ». Alors pour cette seconde opération, il s’agit de faire mieux et de construire une émulation « qui reflète mieux ce que la communauté connaît du groupe ». Les contributions sont ouvertes jusqu’au 15 mars. Le projet d’émulation sera rendu public dans le courant de l’été.
Let's set the table real quick.
— Nick Carr (@ItsReallyNick) February 1, 2019
In 2014, #APT29 wanted to be at this victim so bad, they risked it all.
In the end, they:
• Compromised 1,000+ systems
• Used 1,000+ unique malware samples (7 mal families, most brand new)
• Which used 1,000+ unique compromised domains/IPs
17/n pic.twitter.com/eTrgD6jSJa
Cette sollicitation ne devrait pas être un luxe. A l’automne dernier, FireEye, entreprise de sécurité informatique américaine, a publié des informations sur une campagne de phishing qu’il soupçonne d’être attribuable au groupe APT29. Surtout, dans un long fil de discussion sur Twitter, Nick Carr et Christophe Glyer, des équipes de Mandiant, sont récemment revenus sur ce groupe pour en souligner toutes les particularités. Et cela commence par l’agressivité : « en 2014, APT29 voulait tellement s’introduire chez cette victime qu’ils ont tout risqué. A la fin, ils ont compromis plus d’un millier de systèmes, utilisé plus d’un millier d’échantillons de maliciels uniques (sept familles, la plupart inédites), et utilisé plus d’un millier de domaines/IP compromis ».
Leur collègue Matthew Dunwoody dévoile au passage que le groupe a utilisé WMI pour stocker et lancer Mimikatz sur des hôtes distants afin d’y dérober des identifiants. Et de revenir au passage sur Poshspy, une porte dérobée développée par APT29 et mettant à profit WMI et Powershell. Matthew Dunwoody la présente comme son « maliciel préféré ». Mais il faut également compter avec des portes dérobées écrites en Python avec un code fortement maquillé, et utilisant SSL pour chiffrer ses échanges réseau, Seadaddy, ou encore Hammertoss. Ecrit en .Net, il utilise des comptes Twitter pour ses communications, à raison d’un nouveau créé quotidiennement. Et il y a également GSSBot, une porte dérobée Powershell qui récupère ses commandes dans une feuille de calcul Google.
Et puis si APT29 dérobe des messages électroniques, il ne se contente pas des cibles à haute valeur immédiate comme les VIP : Matthew Dunwoody explique que le groupe « a aussi visé l’équipe de réponse à incident pour surveiller l’enquête » en cours contre lui, ce qui a été l’occasion « d’intéressantes opportunités de contre-intelligence ». Les évaluations de produits d’EDR contre ce groupe promettent d’être passionnantes.