Toujours concentré sur les agissements des services de renseignement russes, l’éditeur américain FireEye dévoile que APT29, aussi connu sous l’appellation de Cozy Bear – un groupe de hackers réputé lié au FSB -, utilise la technique du Domain Fronting afin de masquer ses traces et accéder en toute discrétion aux backdoors de systèmes cibles. Selon les experts américains, cela fait « au moins deux ans » que les hackers affiliés à l’héritier du KGB emploient cette technique, décrite pour la première fois dans un article de l’Université de Berkeley (Californie) en 2015. « APT29 a adopté le Domain Fronting bien avant que ces techniques ne soient largement connues », écrit Matthew Dunwoody, le chercheur de FireEye à l’origine du billet de blog qui détaille les agissements des services secrets russes.
Le Domain Fronting consiste à masquer le réel point de terminaison d’une connexion, la victime pensant avoir affaire à des communications HTTPS dirigées vers un site des plus légitimes. Dans le cas de Cozy Bear, Google. Selon FireEye, les hackers du FSB exploitent un plug-in pour le réseau d’anonymisation Tor, un module appelé Meek et spécialisé dans le Domain Fronting. Une façon pour les espions de masquer leur trafic réseau, « avec une R&D réduite au strict minimum et avec des outils qui sont difficiles à associer à un assaillant ».
Le tunnel de communication ainsi créé « fournit aux assaillants un accès distant aux systèmes hôtes en utilisant Terminal Services, NetBIOS ou le service Server Message Block (SMB), tout en ayant l’air d’un trafic vers des sites légitimes», précise Matthew Dunwoody.
La technique d’APT29 combine donc discrétion (à l’anonymisation de Tor s’ajoute le Domain Fronting, masquant l’origine de la connexion) et accès aux systèmes depuis l’extérieur du réseau local de l’organisation ciblée. Notons que Cozy Bear exploite également Sticky Keys, une fonction de Windows, pour assurer la persistance de ses accès aux systèmes hackés. En remplaçant des binaires de Sticky Keys, les assaillants parviennent à générer l’apparition d’un Shell de commandes à haut niveau de privilèges, simplement en pressant 5 fois sur la touche Shift. « Depuis ce Shell, les assaillants peuvent exécuter des commandes Windows, dont la création ou la modification de comptes sur le système, y compris depuis l’écran d’accueil (avant l’authentification). En créant un tunnel RDP jusqu’au système, ils peuvent se ménager un accès persistant et renforcer leurs privilèges en utilisant cet exploit simple et bien connu », analyse le chercheur de FireEye.
A lire aussi :
Piratage des élections U.S. : tout a commencé par du spearphishing
Chiffrement : comment la messagerie Signal échappe à la censure
La CIA collectionne les outils de hacking d’autres Etats… pour masquer ses traces
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).
Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…
L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.
Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…
Après deux reports successifs, Atos a présenté ses résultats annuels 2023. Et comme prévu, ils…