Toujours concentré sur les agissements des services de renseignement russes, l’éditeur américain FireEye dévoile que APT29, aussi connu sous l’appellation de Cozy Bear – un groupe de hackers réputé lié au FSB -, utilise la technique du Domain Fronting afin de masquer ses traces et accéder en toute discrétion aux backdoors de systèmes cibles. Selon les experts américains, cela fait « au moins deux ans » que les hackers affiliés à l’héritier du KGB emploient cette technique, décrite pour la première fois dans un article de l’Université de Berkeley (Californie) en 2015. « APT29 a adopté le Domain Fronting bien avant que ces techniques ne soient largement connues », écrit Matthew Dunwoody, le chercheur de FireEye à l’origine du billet de blog qui détaille les agissements des services secrets russes.
Le Domain Fronting consiste à masquer le réel point de terminaison d’une connexion, la victime pensant avoir affaire à des communications HTTPS dirigées vers un site des plus légitimes. Dans le cas de Cozy Bear, Google. Selon FireEye, les hackers du FSB exploitent un plug-in pour le réseau d’anonymisation Tor, un module appelé Meek et spécialisé dans le Domain Fronting. Une façon pour les espions de masquer leur trafic réseau, « avec une R&D réduite au strict minimum et avec des outils qui sont difficiles à associer à un assaillant ».
Le tunnel de communication ainsi créé « fournit aux assaillants un accès distant aux systèmes hôtes en utilisant Terminal Services, NetBIOS ou le service Server Message Block (SMB), tout en ayant l’air d’un trafic vers des sites légitimes», précise Matthew Dunwoody.
La technique d’APT29 combine donc discrétion (à l’anonymisation de Tor s’ajoute le Domain Fronting, masquant l’origine de la connexion) et accès aux systèmes depuis l’extérieur du réseau local de l’organisation ciblée. Notons que Cozy Bear exploite également Sticky Keys, une fonction de Windows, pour assurer la persistance de ses accès aux systèmes hackés. En remplaçant des binaires de Sticky Keys, les assaillants parviennent à générer l’apparition d’un Shell de commandes à haut niveau de privilèges, simplement en pressant 5 fois sur la touche Shift. « Depuis ce Shell, les assaillants peuvent exécuter des commandes Windows, dont la création ou la modification de comptes sur le système, y compris depuis l’écran d’accueil (avant l’authentification). En créant un tunnel RDP jusqu’au système, ils peuvent se ménager un accès persistant et renforcer leurs privilèges en utilisant cet exploit simple et bien connu », analyse le chercheur de FireEye.
A lire aussi :
Piratage des élections U.S. : tout a commencé par du spearphishing
Chiffrement : comment la messagerie Signal échappe à la censure
La CIA collectionne les outils de hacking d’autres Etats… pour masquer ses traces
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.