自2021年以来,法国网络安全服务已经观察到分配给APT28集团的间谍活动的强化,也称为五熊,sofacy或pawn风暴。活跃了近二十年,并与俄罗斯军事情报局(GRU)有关,该组织有条不紊地针对法国机构,目的是用于战略收集目的。
结构化攻击链
APT28的运营商基于一系列技术的序列,将社会工程,漏洞的开发和剥落基础架构组合起来,部署妥协渠道。第一阶段通常是基于网络钓鱼活动(网络钓鱼),通常是个性化的,旨在通过使收件人开放依恋或单击恶意关系来欺骗接收者。
同时,APT28会导致对Web消息传递的急剧攻击,以妥协访问,尤其是在检测到低或重复使用的密码时。还没有纠正包括零缺陷的漏洞。一个引人注目的示例是在Microsoft Outlook中使用CVE-2023-23397缺陷,可以执行代码而无需用户交互。
低成本基础架构以避免检测
APT28的技术标记之一是使用合法和廉价的基础设施。该集团使用租用的服务器,匿名VPN,免费住宿服务(InfinityFree)或API生成平台(Mocky.io)将订单交付给恶意植入物。这种方法使攻击特别谨慎:传出的流程通常与传统的专业用途相混淆,从而使他们的检测变得复杂。
此外,APT28有利于经常被忽视的外围组件的折衷:路由器,VPN,人行道,防火墙或消息服务器。该设备较少受到监控,提供了一个稳定的入口点,而不会立即引起人们的怀疑。
越来越隐秘的工具
自2023年以来,在法国和乌克兰观察到的袭击强调了恶意指控作为 头条 或者 海洋图,旨在快速提取信息,而无需保持持续存在。例如,OceanMap通过IMAP协议驱除存储在浏览器中的标识符,并且由于Steelhook或Masepie等向量,可以在不到一个小时的时间内部署。
在某些情况下,攻击者并不试图保持长期访问,而是直接捕获敏感数据:地址簿,消息,附件文件,连接标识符。目的是明确的:偶尔但有针对性的信息收集可以快速使用。
技术的不断适应
APT28不断适应其战术。最近的广告系列包括为消费者(Yahoo,Ukr.net)或专业(Outlook Web访问,Zimbramail)服务创建错误的连接页面,以恢复目标用户标识符。这些欺诈性页面托管在动态生成的子域上,通常受到不断发展的DNS服务的保护,这使其可追溯性变得更加困难。
朝着警惕程度的必要高程
对APT28操作模式的分析揭示了一种操作的复杂性,该操作不仅基于复杂的工具,而是基于对人,技术和组织缺陷的有条不紊的开发。面对具有可持续性和高适应能力的国家演员,外围安全性还不够。在网络安全方面,警惕,数字卫生,行为检测和机构间协调已成为法国韧性的基本支柱。
