L’acteur d’État-nation russe Secret Blizzard a intensifié ses efforts de cyberespionnage contre les ressources militaires ukrainiennes en 2024. Lié au Service fédéral de sécurité (FSB) russe, le groupe a utilisé efficacement les infrastructures et les outils de divers cyberacteurs. Les techniques clés incluent le déploiement de logiciels malveillants personnalisés sophistiqués, la conduite d’attaques stratégiques et le spear phishing.
Secret Blizzard cible l’armée ukrainienne à l’aide de logiciels malveillants personnalisés
La stratégie de Secret Blizzard se concentre sur l’exploitation des infrastructures liées à d’autres acteurs, tels que Storm-1919 et Storm-1837. Cette méthode améliore l’accès à des cibles spécifiques, en particulier au personnel et aux appareils militaires. En parvenant à diversifier leurs vecteurs d’attaque, ils peuvent pénétrer plus efficacement les systèmes critiques.
L’organisation utilise plusieurs outils malveillants distincts, notamment la porte dérobée Tavdig et les charges utiles KazuarV2. Ces outils sont conçus pour maintenir un accès persistant et recueillir des renseignements. La porte dérobée Tavdig a notamment été déployée dans des environnements à enjeux élevés associés aux opérations de première ligne de l’armée ukrainienne.
Astucieusement, Secret Blizzard a utilisé le robot Amadey en mars et avril 2024 pour distribuer ses portes dérobées Tavdig. Le bot Amadey, généralement utilisé pour le cryptomining, a permis au groupe de prendre pied sur les appareils cibles. Cette itération, version 4.18, possédait des capacités de reconnaissance qui incluaient la collecte d’informations sur l’appareil et la collecte d’informations d’identification via divers plugins.
Secret Blizzard a en outre déployé un outil de reconnaissance personnalisé destiné aux appareils issus d’adresses IP STARLINK. Cet outil a collecté des données cruciales, notamment les configurations système et les répertoires. La transmission des données s’est effectuée via les protocoles de cryptage RC4 vers un serveur de commande et de contrôle (C2).
Lazarus Group cible macOS avec le malware cheval de Troie RustyAttr
La charge utile KazuarV2 utilisée par Secret Blizzard était souvent injectée dans des processus fiables pour garantir la furtivité. En déployant des techniques de chargement latéral de DLL, il a réussi à contourner les mesures de détection mises en place par les victimes. De même, la porte dérobée Storm-1837, introduite en décembre 2023, a permis au groupe d’établir un accès continu aux appareils des opérateurs de drones ukrainiens.
Le déploiement comprenait l’utilisation de l’API Telegram pour les connexions authentifiées à la plateforme de partage de fichiers, permettant l’installation d’autres charges utiles malveillantes à distance.
Face à ces attaques sophistiquées, les organisations sont invitées à renforcer leurs défenses. Les recommandations incluent le renforcement de la sécurité des points de terminaison grâce à la protection contre les falsifications et aux fonctionnalités en temps réel de Microsoft Defender. Cela devrait être complété par la mise en œuvre de protections réseau, notamment la surveillance des activités PowerShell et la restriction des scripts non autorisés.
Pour surveiller les indicateurs de compromission (IOC), le suivi de domaines spécifiques tels que citactica.com et icw2016.coachfederation.cz est essentiel. Les requêtes régulières concernant les activités PowerShell suspectes doivent également faire partie d’un mécanisme de défense proactif.
Crédit image en vedette : Philipp Katzenberger/Unsplash