Les agences fédérales mettent en garde contre les acteurs russes de l’APT

Les pirates russes parrainés par l’État continuent de prévaloir dans le paysage des cybermenaces. Les autorités gouvernementales et les organisations du monde entier mettent en garde contre les fréquentes campagnes de cyberespionnage d’acteurs russes. Récemment, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, le FBI et la National Security Agency (NSA) ont publié un avis conjoint sur la détection, la réponse et l’atténuation des menaces de sécurité émanant d’acteurs parrainés par l’État russe. L’avis donne un aperçu des cyberopérations des pirates informatiques russes, y compris leurs tactiques, techniques et procédures (TTP) couramment utilisées.

“La CISA, le FBI et la NSA encouragent la communauté de la cybersécurité, en particulier les défenseurs des réseaux d’infrastructures critiques, à adopter un état de conscience accru, à mener une chasse proactive aux menaces et à mettre en œuvre les mesures d’atténuation identifiées dans l’avis”, indique l’avis.

Acteurs APT russes

Les agences fédérales ont déclaré que les acteurs de la menace persistante avancée (APT) parrainés par l’État russe exploitaient divers vecteurs d’attaque tels que le harponnage, la force brute et l’exploitation de vulnérabilités connues pour pénétrer dans des systèmes de réseau ciblés.

Les vulnérabilités connues pour être exploitées par les acteurs APT parrainés par l’État russe pour l’accès initial comprennent :

Secteurs ciblés

Des acteurs russes auraient ciblé diverses organisations américaines et internationales d’infrastructures critiques dans les secteurs de la défense, des soins de santé, de la santé publique, de l’énergie, des télécommunications et des installations gouvernementales.

A lire aussi : La Russie bloque Tor Web pour des raisons de confidentialité

Que faire si vous devenez victime d’APT

L’avis indiquait que les organisations détectant une activité APT potentielle dans leurs systèmes de réseau devraient :

• Isolez immédiatement les systèmes affectés.
• Sauvegardes sécurisées. Assurez-vous que vos données de sauvegarde sont hors ligne et sécurisées. Si possible, analysez vos données de sauvegarde avec un programme antivirus pour vous assurer qu’elles sont exemptes de logiciels malveillants.
• Collectez et examinez les journaux, les données et les artefacts pertinents.
• Envisagez de solliciter l’assistance d’une organisation informatique tierce pour fournir une expertise en la matière, vous assurer que l’acteur est éradiqué du réseau et éviter les problèmes résiduels qui pourraient permettre une exploitation ultérieure.

Atténuation

La CISA, le FBI et la NSA ont recommandé aux organisations de mettre en œuvre les mesures de sécurité ci-dessous pour accroître leur cyber-résilience face aux menaces croissantes :

• Développer des listes de contacts internes. Attribuez les principaux points de contact pour un incident suspecté ainsi que les rôles et responsabilités et assurez-vous que le personnel sait comment et quand signaler un incident.
• Minimisez les écarts de disponibilité du personnel de sécurité informatique/OT en identifiant le support de pointe pour répondre à un incident.
• Assurez-vous que le personnel de sécurité informatique/OT surveille les capacités de sécurité internes clés et identifie les comportements anormaux. Signaler tous les IOC et TTP identifiés pour une réponse immédiate
• Créer, maintenir et exercer un plan de réponse aux incidents cybernétiques et de continuité des opérations.
• Exigez une authentification multifacteur pour tous les utilisateurs, sans exception.
• Exigez que les comptes aient des mots de passe forts et n’autorisez pas l’utilisation de mots de passe sur plusieurs comptes ou leur stockage sur un système auquel un adversaire peut avoir accès.
• Identifiez, détectez et enquêtez sur les activités anormales pouvant indiquer un mouvement latéral d’un acteur menaçant ou d’un logiciel malveillant.