L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avertit qu’elle a observé des acteurs malveillants utilisant des cookies persistants non cryptés gérés par le module F5 BIG-IP Local Traffic Manager (LTM) pour effectuer une reconnaissance des réseaux cibles.
Il a indiqué que le module est utilisé pour énumérer d’autres appareils non connectés à Internet sur le réseau. L’agence n’a toutefois pas révélé qui était à l’origine de cette activité ni quels étaient les objectifs finaux de la campagne.
“Un cyber-acteur malveillant pourrait exploiter les informations recueillies à partir des cookies de persistance non chiffrés pour déduire ou identifier des ressources réseau supplémentaires et potentiellement exploiter les vulnérabilités trouvées dans d’autres appareils présents sur le réseau”, a déclaré CISA. dit dans un avis.
Il a également recommandé aux organisations de chiffrer les cookies persistants utilisés dans les appareils F5 BIG-IP en configuration du cryptage des cookies dans le profil HTTP. En outre, il invite les utilisateurs à vérifier la protection de leurs systèmes en exécutant un utilitaire de diagnostic fourni par F5 appelé BIG-IP iSanté pour identifier les problèmes potentiels.
“Le composant BIG-IP iHealth Diagnostics du système BIG-IP iHealth évalue les journaux, les sorties de commandes et la configuration de votre système BIG-IP par rapport à une base de données de problèmes connus, d’erreurs courantes et de meilleures pratiques F5 publiées”, note F5 dans un document justificatif.
“Les résultats hiérarchisés fournissent des commentaires personnalisés sur les problèmes de configuration ou les défauts de code et fournissent une description du problème, [and] recommandations de résolution.”
Cette divulgation intervient alors que les agences de cybersécurité du Royaume-Uni et des États-Unis ont publié un bulletin conjoint détaillant les tentatives d’acteurs parrainés par l’État russe de cibler les secteurs diplomatique, de la défense, de la technologie et de la finance afin de collecter des renseignements étrangers et de permettre de futures cyberopérations.
L’activité a été attribuée à un acteur menaçant suivi sous le nom d’APT29, également connu sous les noms de BlueBravo, Cloaked Ursa, Cozy Bear et Midnight Blizzard. APT29 est considéré comme un rouage clé de la machine de renseignement militaire russe et est affilié au Service de renseignement étranger (SVR).
“Les cyber-intrusions SVR mettent fortement l’accent sur le fait de rester anonymes et non détectés. Les acteurs utilisent largement TOR lors des intrusions – du ciblage initial à la collecte de données – et à travers l’infrastructure réseau”, ont déclaré les agences. dit.
“Les acteurs louent une infrastructure opérationnelle en utilisant diverses fausses identités et des comptes de messagerie de mauvaise réputation. Le SVR obtient l’infrastructure auprès des revendeurs des principaux fournisseurs d’hébergement.”
Les attaques lancées par APT29 ont été classées comme celles conçues pour récolter des renseignements et établir un accès persistant afin de faciliter les compromissions de la chaîne d’approvisionnement (c’est-à-dire les cibles intentionnelles), ainsi que celles qui leur permettent d’héberger une infrastructure malveillante ou de mener des opérations de suivi à partir de comptes compromis en tirant parti de failles connues publiquement, d’informations d’identification faibles ou d’autres erreurs de configuration (c’est-à-dire des cibles d’opportunité).
Certaines des vulnérabilités de sécurité importantes mises en évidence incluent CVE-2022-27924, une faille d’injection de commandes dans Zimbra Collaboration, et CVE-2023-42793, un bug de contournement d’authentification critique qui permet l’exécution de code à distance sur TeamCity Server.
APT29 est un exemple pertinent d’acteurs malveillants qui innovent continuellement dans leurs tactiques, techniques et procédures pour tenter de rester furtifs et de contourner les défenses, allant même jusqu’à détruire leur infrastructure et à effacer toute preuve s’ils soupçonnent que leurs intrusions ont été détectées, soit en la victime ou les forces de l’ordre.
Une autre technique notable est l’utilisation intensive de réseaux proxy, comprenant des fournisseurs de téléphonie mobile ou des services Internet résidentiels, pour interagir avec les victimes situées en Amérique du Nord et se fondre dans le trafic légitime.
“Pour perturber cette activité, les organisations doivent définir une base de référence pour les appareils autorisés et appliquer un examen plus approfondi aux systèmes accédant à leurs ressources réseau qui ne respectent pas la ligne de base”, ont déclaré les agences.