Résumé
En mars 2023, plusieurs médias ont publié des détails tirés de documents reçus en février 2022 d'un ancien employé de NTC Vulkan qui s'est opposé à l'invasion de l'Ukraine par la Russie. Selon les médias, la société NTC Vulkan, basée à Moscou, a été chargée par les services de renseignement russes de créer les cyberoutils offensifs suivants :
- Scan ou Scan-V - outil de balayage de l'Internet conçu pour découvrir les vulnérabilités en vue de les utiliser dans d'éventuelles cyber-opérations.
- Amesit ou Amezit - "Un cadre utilisé pour contrôler l'environnement de l'information en ligne et manipuler l'opinion publique, renforcer les opérations psychologiques et... soutenir les opérations liées aux OI et aux OT".
- Krystal-2B - une plate-forme d'entraînement pour les cyberattaques contre les infrastructures critiques.
Dans cette enquête, les chercheurs de Censys ont découvert six hôtes appartenant à NTC Vulkan et ont pu établir le profil actuel et historique des outils et des logiciels qu'ils hébergeaient, fournissant ainsi un profil de base de l'entreprise. Plus intéressant encore, Censys a découvert une connexion avec un groupe appelé Raccoon Security via un certificat de NTC Vulkan. Cette découverte est importante car aucun autre média n'a mentionné ce groupe connecté, malgré le fait que les capacités déclarées de Raccoon Security correspondent étroitement aux outils que les services de renseignement russes recherchaient auprès de NTC Vulkan.
Étant donné que la Russie a l'habitude d'utiliser des outils cybernétiques offensifs à des fins militaires ou géopolitiques et que les contrats passés par NTC Vulkan avec Sandworm du GRU russe semblaient viser à permettre des opérations cybernétiques offensives russes susceptibles de cibler des élections et des infrastructures essentielles, les chercheurs de Censys ont estimé que les capacités de NTC Vulkan pouvaient constituer une menace pour les institutions démocratiques. Et comme NTC Vulkan a été fondé par deux anciens officiers des services de renseignement russes, les chercheurs de Censys ont choisi de dresser le profil des dispositions des hôtes liés à NTC Vulkan, dans le but de faire connaître le groupe et ses capacités.
Résultats
Hôtes NTC Vulkan
Censys se sont d'abord concentrés sur les actifs accessibles au public appartenant à NTC Vulkan afin d'établir un lien entre l'entreprise et les domaines, hôtes ou certificats figurant dans l'ensemble de données de l'analyse Censys . Au cours de cette recherche, Censys a découvert six hôtes de NTC Vulkan qui illustrent le fait que l'entreprise a utilisé ou utilise actuellement les logiciels de collaboration virtuelle BigBlueButton et Jitsi Meet, le stockage de données et la collaboration virtuelle Nextcloud, les pare-feux Cisco et pfSense, un serveur Nginx et un serveur GitLab, entre autres outils.
Si l'on considère que les fuites d'informations sur Vulkan du NTC indiquent que des outils ont été développés pour le GRU, la découverte historique du serveur GitLab sur le site Censyspourrait correspondre à cette affirmation. La présence des outils de vidéoconférence BigBlueButton et Jitsi Meet peut indiquer une collaboration interne à distance ou éventuellement une collaboration avec une entité externe telle qu'un client. Les serveurs Nextcloud peuvent servir à une collaboration similaire et/ou à l'utilisation interne de NTC Vulkan. En outre, la posture externe de NTC Vulkan comprend l'utilisation cohérente d'appareils réseau Cisco et pfSense.
Raccoon Security Hosts
Après avoir découvert ces hôtes NTC Vulkan, les chercheurs de Censys ont énuméré tous les certificats NTC Vulkan, actuels et expirés. Pour ce faire, Censys a pivoté sur le champ de l'organisation dans l'un des certificats d'un hôte NTC Vulkan confirmé, et a recherché le domaine ntc-vulkan[.]ru et les variantes de "NTC Vulkan" (par exemple, "NTCVulkan", "NTC Vulcan", etc.) dans la base de données des certificats de Censys. Lors de l'examen de ces certificats, les chercheurs de Censys ont recherché d'autres indicateurs d'attribution, notamment d'autres domaines dans les champs Subject Alternate Names (SAN) et Common Name (CN), afin d'identifier d'autres liens avec le groupe ou toute autre organisation à laquelle il pourrait être affilié.
Censys a trouvé raccoonsecurity[.]ru dans le CN du sujet du certificat et dans les SAN. Cet indicateur initial a conduit à une recherche de "raccoonsecurity" dans les données de certificat de Censys, ce qui a permis de découvrir non seulement d'autres certificats, mais aussi un hôte virtuel sur un fournisseur d'hébergement partagé avec les domaines raccoonsecurity[.]org, raccoonsecurity[.]net et raccoonsecurity[.]org, qui redirigent tous vers raccoonsecurity[.]ru.
Un coup d'œil sur le site web de Raccoon Security (via une traduction du russe vers l'anglais à l'aide de Google Translate), montre les services suivants :
Bien que ces services soient présentés de manière défensive sur le site web, leur utilité correspond aux initiatives du contrat Vulkan du NTC qui ont fait l'objet d'une fuite. Il s'agit notamment de Krystal-2B, un environnement d'entraînement pour l'attaque de technologies opérationnelles, qui pourrait être mis en place en menant les services proposés ci-dessus et en en tirant des enseignements. Il s'agit également de Scan-V, qui visait à identifier les vulnérabilités sur des dispositifs identifiés au niveau mondial, ce qui coïncide avec le verbiage ci-dessus "identifier les erreurs de mise en œuvre et les vulnérabilités dans les produits et les systèmes critiques". En outre, le site web de Raccoon Security propose des services de consultation et de planification en matière de conception et de développement sécurisés, ce qui correspond à la nature du développement des projets que le GRU a confié à NTC Vulkan.
En outre, une recherche Google sur raccoonsecurity[.]ru montre que Raccoon Security est une marque interne et une équipe de NTC Vulkan sur ntc-vulkan[.]ru/about/news/racoon-security/.
Censys conclut donc que Racoon Security est une marque de NTC Vulkan et qu'il est possible que les activités de Raccoon Security incluent une participation antérieure ou actuelle aux initiatives de fuite susmentionnées sous contrat avec le GRU. Censys recommande de surveiller Raccoon Security, ses domaines, son site web, son adresse IP et tous les certificats dans lesquels il est mentionné afin de découvrir tout changement temporel dans la posture ou l'infrastructure de l'organisation.
L'évaluation
Censys évalue avec une grande confiance que les hôtes, les certificats et les domaines de NTC Vulkan identifiés dans ce rapport appartiennent effectivement au même NTC Vulkan que celui identifié dans les sources citées dans ce rapport. Les conventions de dénomination des certificats et les domaines de NTC Vulkan identifiés dans l'ensemble de données de Censyscorrespondent au site web public de NTC Vulkan. Bien que les chercheurs de Censys aient identifié des changements de logiciels sur les hôtes de NTC Vulkan et la création de nouveaux certificats à l'expiration des anciens, les conventions de dénomination sont restées cohérentes sur les certificats et Censys n'a observé aucun changement d'adresse IP au fil du temps. Ces indicateurs permettent donc à Censys de conclure que les actifs identifiés dans ce rapport appartiennent à NTC Vulkan. Cette affirmation n'est pas choquante, puisque NTC Vulkan est une entreprise publique, mais elle est utile pour ceux qui cherchent à surveiller de manière fiable l'organisation pour détecter des changements dans sa position ou ses capacités.
Censys évalue également avec une grande confiance que Raccoon Security et ses domaines, hôtes et certificats associés appartiennent à la marque de développement de cybersécurité du même nom, basée à Moscou. Cela est dû au fait que les domaines associés à Raccoon Security redirigent tous vers le site web principal de Raccoon Security. Censys est également convaincu que Raccoon Security est un groupe au sein de NTC Vulkan, non seulement parce que les chercheurs de Censys ont découvert le domaine de Raccoon Security dans un certificat qui mentionnait NTC Vulkan dans le champ de l'organisation, mais aussi parce que le site web correspondant de Racoon Security indique explicitement qu'il s'agit "...d'une association interne de spécialistes du centre de recherche et de développement Vulcan...." Le site de NTC Vulkan confirme cette relation.
Bien que Censys ne puisse pas confirmer que Raccoon Security développe les outils offensifs mentionnés dans les fuites NTC Vulkan susmentionnées, il semble que les services et les capacités répertoriés sur son site Web se prêtent à cette capacité.
En conclusion, l'identification de l'empreinte numérique publique de NTC Vulkan et de Raccoon Security a indiqué aux chercheurs de Censys que :
- L'exploitation d'un seul domaine confirmé comme appartenant à une organisation peut suffire à comprendre les outils communs que cette organisation utilise pour maintenir ses activités, tels que la formation virtuelle, la collaboration dans le nuage et la défense du réseau.
- L'étude de l'histoire de ces hôtes peut être utile pour guider les analystes quant aux fonctions essentielles de ces hôtes, voire de l'organisation elle-même.
- L'examen des certificats d'une certaine organisation peut être un moyen utile de découvrir des organisations apparentées et leurs domaines, ce qui peut conduire à des pivots utiles révélant de nouveaux hôtes.
Contact
Si vous souhaitez obtenir des détails sur les hôtes, les adresses IP, les logiciels ou les certificats mentionnés dans ce rapport, ou si vous avez des questions, des commentaires ou des demandes, veuillez nous envoyer un courriel à federal@censys.io.