Getty Images/iStockphoto
Mandiant fait passer Sandworm au niveau APT44 en raison de l’augmentation de la menace
Au cours des dix dernières années, Sandworm a été à l'origine d'attaques de grande ampleur qui mettent en évidence la persistance du groupe, ses techniques d'évasion et la menace qu'il fait peser sur les organismes publics.
Mandiant a officiellement promu le groupe APT russe Sandworm au rang d’APT44, en raison du risque important qu’il représente pour les organisations gouvernementales et les infrastructures critiques du monde entier.
APT44 est défini par les équipes de Mandiant (filiale cybersécurité de Google) comme un groupe de menace soutenu par la Fédération de Russie et attribué par plusieurs gouvernements à l’unité 74455, le centre principal des technologies spéciales (GTsST) au sein de la direction principale du renseignement militaire russe (GRU). Mandiant suit les opérations d’APT44 depuis plus de dix ans. Des images accessibles au public de l’insigne d’anniversaire de l’unité situent la formation du groupe en 2009.
Dans un billet de blog publié mercredi, le fournisseur de renseignements sur les menaces a révélé qu’il avait reclassé le groupe de menaces persistantes avancées, communément appelé Sandworm, en APT44 en raison de son rôle crucial dans la guerre actuelle entre la Russie et l’Ukraine et de sa grande capacité d’adaptation. Mandiant a souligné la dangerosité d’APT44 par rapport à d’autres groupes de menaces, en raison de sa capacité à mener des activités d’espionnage, à déployer des attaques et à mener des opérations d’influence avec le soutien du GRU. Le groupe APT a lancé de nombreuses campagnes réussies depuis que Mandiant a découvert Sandworm il y a 10 ans.
En 2020, six membres de Sandworm ont été inculpés pour des attaques très perturbatrices qui ont déployé le logiciel malveillant NotPetya contre des organisations ukrainiennes en 2017. Sandworm était également responsable de l’attaque par ransomware WannaCry, toujours en 2017 ; ces deux événements ont mis en évidence le risque de propagation des attaques à des entités extérieures à la cible.
« À ce jour, aucun autre groupe de cyberattaquants soutenu par le gouvernement russe n’a joué un rôle aussi central dans l’élaboration et le soutien de la campagne militaire russe », écrit Mandiant dans son rapport.
Plus récemment, ce que Mandiant suit désormais sous le nom d’APT44 est fortement impliqué dans la guerre entre la Russie et l’Ukraine, qui a débuté en 2022. Mandiant a observé qu’APT44 avait lancé une campagne de perturbation lors de la première invasion de l’Ukraine par la Russie, campagne qui se poursuit encore aujourd’hui.
Au cours de certaines de ces attaques, APT44 a déployé des logiciels malveillants de type « wiper », qui peuvent entraîner une perte permanente de données. Mandiant a observé une attaque en 2022 au cours de laquelle les opérateurs d’APT44 ont ciblé le réseau énergétique ukrainien et provoqué des coupures de courant.
Si Mandiant a souligné la « formidable menace » que représente APT44 pour l’Ukraine, l’éditeur a également mis en garde les autres adversaires de la Russie.
« En raison de l’utilisation agressive des capacités d’attaque de réseau dans des contextes politiques et militaires, APT44 représente une menace persistante et très grave pour les gouvernements et les opérateurs d’infrastructures critiques dans le monde entier, là où les intérêts nationaux russes se croisent », peut-on lire dans le rapport.
Malgré la guerre en cours en Ukraine, APT44 a également ciblé avec succès d’autres pays. Mandiant a observé APT44 mener des opérations d’espionnage en Amérique du Nord, en Europe, au Moyen-Orient, en Asie centrale et en Amérique latine.
Outre les entités gouvernementales, Mandiant a constaté qu’APT44 cible principalement des organisations de défense, de transport, d’énergie, de médias et de la société civile, situées à proximité de la Russie. APT44 cible aussi fréquemment des organisations gouvernementales et d’autres opérateurs d’infrastructures critiques en Pologne et au Kazakhstan, ainsi qu’en Russie.
En ce qui concerne les cibles américaines, il semble que les activités récentes d’APT44 aient visé des victimes dans le secteur des services d’eau. Mandiant suit les activités du GRU par le biais de la plateforme de messagerie Telegram. En janvier, les chercheurs ont découvert une vidéo postée sur Telegram par un utilisateur qui se fait appeler CyberArmyofRussia_Reborn, probablement associée au GRU.
Dans la vidéo, CyberArmyofRussia_Reborn s’attribue le mérite de la manipulation des interfaces homme-machine (IHM) et du contrôle des actifs de technologie opérationnelle (OT) dans les services d’eau polonais et américains. Le même mois, la CISA a publié un guide de réponse aux incidents pour les services de distribution d’eau et de traitement des eaux usées aux États-Unis et a exhorté les opérateurs à renforcer leurs protocoles de sécurité.
« Mandiant n’est pas en mesure de vérifier de manière indépendante l’activité d’intrusion susmentionnée ou son lien avec APT44. Cependant, nous notons que les responsables des services publics américains concernés ont publiquement reconnu les incidents survenus dans les entités présentées comme victimes dans la vidéo CyberArmyofRussia_Reborn », peut-on lire dans le rapport.
Mandiant s’est référé à un article publié par My Plainview en février (source en anglais). Cet article faisait état d’une réunion municipale au cours de laquelle les responsables de Muleshoe, au Texas, avaient discuté d’une attaque contre les systèmes d’infrastructure de l’eau qui s’était produite le 18 janvier.
Forts risques de perturbation sur les élections à venir
APT44 constitue également une menace pour le processus électoral démocratique, a averti Mandiant. Le fournisseur a souligné qu’APT44 a « ciblé à plusieurs reprises les institutions et systèmes électoraux occidentaux, y compris ceux des pays membres actuels et futurs de l’Organisation du traité de l’Atlantique Nord (OTAN) ». Par exemple, APT44 a interféré dans l’élection présidentielle américaine de 2016. Mandiant souligne qu’APT44 tente de perturber le processus électoral en divulguant des informations politiquement sensibles et en déployant des logiciels malveillants pour manipuler les données électorales.
« Nous sommes convaincus qu’APT44 est considéré par le Kremlin comme un instrument de pouvoir flexible, capable de servir les intérêts et les ambitions nationales de la Russie, y compris les efforts visant à saper les processus démocratiques dans le monde entier », indique le rapport.
Mandiant a observé d’autres opérations au cours desquelles APT44 a procédé à un vol généralisé d’informations d’identification pour cibler les serveurs de messagerie des secteurs public et privé à l’échelle mondiale. La campagne, initialement découverte en 2019, visait les serveurs Exim, Zimbra et Exchange. Les attaques qui ont exploité une vulnérabilité d’exécution de code à distance d’Exim ont mis en évidence la persistance d’APT44. Les organisations qui utilisent Exim ont continué à subir des attaques attribuées au groupe de menace pendant plus d’un an.
La persistance est un facteur clé de l’efficacité du groupe. Selon Mandiant, après l’intrusion dans un réseau, les opérateurs d’attaque utilisent des techniques de survie sur le terrain (living off the land, LOTL) pour obtenir un accès supplémentaire, établir une persistance et exfiltrer des informations. Pour échapper à la détection, les opérateurs utilisent des outils préexistants afin d’effectuer des reconnaissances, se déplacer latéralement et exfiltrer des informations sur les réseaux cibles.
Mandiant a également averti les organisations qu’APT44 obtient un accès initial en usant de phishing, de la collecte d’informations d’identification et de vulnérabilités exploitées connues pour compromettre la chaîne d’approvisionnement. APT44 cible fréquemment des vecteurs d’accès initial qui peuvent permettre aux opérateurs d’accéder à un large éventail de cibles. Ceux-ci décident ensuite des cibles à privilégier.
Selon Mandiant, le succès d’APT44 est probablement dû à son accès à plusieurs entreprises russes et aux marchés criminels du pays où les opérateurs peuvent se procurer des logiciels malveillants sans trop de difficultés…
Mandiant a recommandé aux organisations de donner la priorité aux détections de techniques LOTL et d’enquêter sur les cas de logiciels malveillants disponibles dans le commerce en tant qu’activité potentielle de l’APT44.
« Les réponses à APT44 doivent également tenir compte de la sensibilité du groupe au risque de contre-espionnage. Il s’agit d’un acteur très conscient des efforts de réponse et de détection des incidents et, dans certains cas, les efforts d’atténuation peuvent conduire une intrusion vers une activité perturbatrice », peut-on lire dans le rapport.
Dan Black, analyste principal chez Mandiant et Google Cloud, a déclaré à la rédaction de TechTarget (maison mère du MagIT) qu’APT44 avait prospéré pendant une décennie grâce à son expérience opérationnelle dans le monde réel. Le fait de soutenir les intérêts politiques et militaires de la Russie au cours des dix dernières années a permis à APT44 d’adapter continuellement ses méthodes, a-t-il souligné.
Dan Black estime également que les États-Unis demeuraient une cible privilégiée pour APT44. Il a indiqué que le groupe a montré un intérêt constant pour les infrastructures critiques américaines au cours de la dernière décennie, soulignant son rôle dans l’influence des opinions publiques pour manipuler les élections.
Constat identique pour la France. Selon les informations de nos confrères du Monde publiées ce jour, Sandworm serait impliqué dans l’intrusion informatique dans un logiciel de contrôle d’une installation hydroélectrique française. Une opération symptomatique des vélléités des assaillants même si elle s’est avérée anecdotique dans ses effets : Le Monde explique que les hackers russes qui visaient le barrage hydroélectrique de Courlon-sur-Yonne avait en réalité piraté… un moulin producteur local d’électricité. Une opération là encore relevée par les équipes de Mandiant et revendiquée début mars par CyberArmyofRussia_Reborn.
« Le passage de Sandworm à APT44 reflète non seulement la gravité de la menace, mais aussi notre compréhension approfondie du mode de fonctionnement du groupe », a-t-il déclaré. « L’intensité des opérations d’APT44 en Ukraine nous a permis d’acquérir une compréhension plus globale de ses méthodes et de ses capacités et de renforcer l’attribution des opérations passées du groupe.