Posté le septembre 29, 2021 à 18:29
LE GROUPE DE HACKERS SOUTENU PAR LA RUSSIE, NOBELIUM, UTILISE UN NOUVEL OUTIL DE PORTE DÉROBÉE FOGGYWEB
Le même groupe de hackers qui s’est fait un nom en attaquant la chaîne d’approvisionnement de SolarWind s a de nouveau été repéré en train d’utiliser une porte dérobée totalement différente.
Selon les enquêteurs du Microsoft Threat Intelligence Center, les attaquants de la menace Nobelium utilisent un logiciel malveillant qui leur permet d’accéder à distance. Ce logiciel malveillant s’appelle « FoggyWeb ». Cet accessoire leur donne de la ténacité sur les serveurs Active Directory vulnérables. Cette attaque fait suite à une vulnérabilité du système qui avait été repérée il y a plus de cinq mois.
Dans une déclaration publiée par Ramin Nafisi sur FoggyWeb, un enquêteur de Microsoft, la porte dérobée n’est qu’une partie d’un long processus d’acquisition des informations d’identification des utilisateurs. Ceux-ci sont ensuite utilisés par les groupe de hackers Nobelium pour se déplacer sur les réseaux et mettre la main sur des données encore plus précieuses.
Après avoir exploité les failles pour compromettre les serveurs appartenant aux services de la fédération Active Directory, le groupe de hackers a installé la porte dérobée afin d’obtenir un accès illimité au serveur. C’est alors qu’ils acquièrent maintenant les données par un accès à distance.
Le backdoor FoggyWeb
Le backdoor FoggyWeb est une porte dérobée cryptée positionnée à la périphérie du chargement d’applications structurées pour prendre la forme de DLL Windows sûres et reconnues. Une fois chargé, le backdoor fonctionne avec les mêmes privilèges que l’administrateur système. FoggyWeb peut également être considéré comme un agnostique de la version d’AD FS. Cela signifie qu’il n’a pas besoin de surveiller les configurations existantes par rapport aux configurations mises à jour.
L’enquêteur de Microsoft a également précisé que le serveur est automatiquement compromis, Nobelium étant en possession des informations d’identification de l’utilisateur. Les attaquants peuvent, à ce stade, tirer parti de cet accès en conservant un accès illimité et en allant plus loin pour accéder à davantage d’informations d’identification à l’aide de logiciels malveillants complexes et d’accessoires connexes.
Le groupe profite de cette porte dérobée pour prendre le contrôle de la base de données responsable de la configuration du système Active Directory Federation Services qui a été compromise. Avec un tel accès, ils peuvent creuser davantage pour acquérir les autorisations de signature de jetons privés et décrypter les jetons, entre autres parties plus critiques du système.
Les attaquants Nobelium
Le sentiment général est que Nobelium est soutenu par le gouvernement russe. Le groupe connu sous le nom de Cozy Bear ou APT29 a été associé au piratage de SolarWinds l’année dernière, ainsi qu’à d’autres attaques de réseau qui ont suivi l’incident de SolarWinds. Ces attaques ont toutes été attribuées à la porte dérobée de la plate-forme de gestion des technologies de l’information de SolarWinds, Orion.
Ce groupe de hackers notoire est opérationnel depuis plus de cinq ans. Bien que SolarWinds soit l’une de leurs plus grandes attaques, le groupe est lié à diverses autres attaques redoutables, notamment l’infiltration du Comité national démocratique en 2016.
Leur dernière attaque, rendue possible par la porte dérobée FoggyWeb, se distingue par le fait qu’il s’agit d’un nouveau logiciel malveillant par rapport à leur signature Sunburst, utilisée pour exécuter l’attaque contre SolarWinds. Sunburst les a également aidés dans les attaques contre des réseaux tels que Goldmax. Comme cette équipe est fière du soutien qu’elle reçoit du Kremlin, elle ne dépend pas d’accessoires de piratage stockés. Ils ont les moyens et la capacité de développer leurs propres outils.
Les informations fournies par les chercheurs prouvent que Nobelium est alimenté par des ressources opérationnelles notables qui sont normalement montrées lors de leurs campagnes, telles que le logiciel malveillant conçu sur mesure et l’infrastructure de piratage.
L’enquêteur de Microsoft a également révélé plusieurs pointeurs de vulnérabilités existantes dont la porte dérobée FoggyWeb pourrait tirer parti. Parmi celles-ci figurent les configurations de serveur des services de fédération Active Directory, des requêtes utilisées dans la chasse et la détection concernant les produits de sécurité. Avec un accès de niveau administrateur à n’importe quel système qu’il pirate, Nobelium peut exfiltrer d’importantes quantités de données appartenant à la victime de l’attaque, ainsi qu’à sa base de clients. C’est ce qu’ils ont fait aux serveurs de l’Active Directory Federation Services.
Dans le cas du Comité national démocratique, l’affaire était si extrême qu’elle s’est transformée en procès avec l’affirmation que des attaquants russes avaient tenté de pénétrer dans leurs systèmes. L’avertissement de Microsoft doit donc être pris très au sérieux. Ils ont révélé un outil de conception nouvelle utilisé par le groupe de hackers pour exfiltrer des données privées et introduire une porte dérobée dans l’annuaire actif du serveur.
Pour protéger vos systèmes contre des attaques similaires, Roger Halbheer, conseiller en chef de Microsoft en matière de sécurité, propose que la meilleure forme de protection consiste à ne pas utiliser AD FS. La porte dérobée FoggyWeb ne peut être chargée que sur la même application que l’AD FS en utilisant un code géré de manière similaire. Cela donne aux attaquants un accès qui n’est pas seulement programmatique mais qui les fait apparaître comme des classes légitimes au sein d’AD FS. Ils sont également en mesure d’utiliser des privilèges similaires à ceux de l’administrateur pour faciliter leurs opérations malveillantes.
