fbpx

APT28 : Sednit, FancyBear, Pawn Storm

Le groupe APT28, Sednit, FancyBear, Pawn Storm ou encore Sofacy est un groupe cyber criminel supposĂ©ment actif depuis 2007. Pourquoi “supposĂ©ment actif” me demanderez-vous ? Et bien il est possible que nous ne connaissions pas l’identitĂ© des personnes derriĂšre ce groupe, ni depuis quand ils existent. Ainsi, il ne nous reste que des suppositions. Suppositions, qui d’ailleurs, nous mĂšnent droit chez les Russes. Pourquoi les russes ? Tout simplement car, lors des recherches menĂ©es par la sociĂ©tĂ© Fireeye, il a Ă©tĂ© trouvĂ© que la principale langue utilisĂ©e pour la plupart des malwares Ă©tait le russe et les heures de compilations correspondaient au fuseau horaire de ce mĂȘme pays entre les annĂ©es 2007 et 2014. Mais mĂȘme si ces Ă©lĂ©ments tendent Ă  nous ramener sur la piste russe, cela ne reste aujourd’hui que des suppositions.

Quels sont les objectifs de FancyBear ? Comment procÚde-t-il ?

Tout d’abord, ses attaques visent les gouvernements, les mĂ©dias, le domaine militaire en se concentrant sur la rĂ©gion caucasienne, l’Europe de l’est et les organisations internationales de sĂ©curitĂ© (OTAN, OSCE). APT28 est un groupe qui sait contrĂŽler plusieurs attaques en mĂȘme temps. Il utilise Ă©galement rĂ©guliĂšrement le tĂ©lĂ©chargeur SOURFACE, le backdoor EVILTOSS, ainsi que l’’implant de cyber espionnage appelĂ© CHOPSTICK. Ensemble, ces trois outils permettent de pirater un ordinateur, d’effectuer n’importe quelle action dessus et tout cela dans la plus grande discrĂ©tion car CHOPSTICK camoufle le transfert de donnĂ©es en simple trafic de mail. En tout cas, on ne peut pas nier que ce groupe d’APT est bien prĂ©parĂ©.

Fancy Bear, APT28 utilise principalement des attaques de phishing et des fausses pages web crĂ©Ă©es par leurs soins. Leur but ? Essayer de tromper le public afin d’amasser grand nombre d’argent et d’informations confidentielles et privĂ©es. Par exemple, ils ont lancĂ©, en aoĂ»t 2016, une attaque sur l’agence mondiale de l’antidopage. Aux vues des Jeux Olympiques de Rio, ce groupe cyber criminel a eu la bonne idĂ©e de lancer une campagne d’anti dopage visant les utilisateurs de l’agence. Ainsi, les sportifs participants aux Jeux Olympiques ont transmis leurs informations de connexions au groupe en se connectant sur la fausse page internet et ont permis Ă  celui-ci d’utiliser les informations collectĂ©es sur la vraie page et d’avoir accĂšs Ă  tous les dossiers. AprĂšs ça, Fancy Bear a dĂ©noncĂ© les sportifs qui avaient Ă©tĂ© contrĂŽlĂ©s positifs lors de leurs tests. Les rĂ©sultats et les noms des sportifs ont Ă©tĂ© publiĂ©s sur le site fancybear.net. Cet Ă©vĂ©nement, trĂšs traumatisant pour les sportifs mais trĂšs croustillant pour les fĂ©rus de conflits, a montrĂ© que notre groupe cyber criminel avait la main mise sur le monde virtuel.

Comment dĂ©tecter l’attaque d’un ATP ?

  • PremiĂšrement, si vous vous rendez compte d’activitĂ©s inhabituelles d’un utilisateur alors il y a des chances que ce soient nocif pour vous. Par exemple, si une personne vous envoie un mail inhabituel, ou alors si une personne que vous connaissez bien vous fait une demande Ă©trange remplie de fautes d’orthographes. Car oui, Ă©crire « Bonjour, vous venĂ© de gagnĂ© 5000euro », est non seulement un signe d’analphabĂ©tisme effrayant, mais en plus, cela peut ĂȘtre un faux mail de phishing.
  • Attention si vous voyez un dossier qui ne devrait pas se trouver lĂ  et que vous ne connaissez pas, n’essayez pas de l’ouvrir sans ĂȘtre certain qu’il est bĂ©nin et favorisez l’Ă©radication de l’anomalie (tout en demandant au prĂ©alable Ă  vos proches si cela ne leur appartient pas bien-sĂ»r, ça serait bĂȘte d’effacer l’album photo de mamie).
  • Enfin, pour vous protĂ©ger un maximum, n’oubliez pas d’installer un bon anti-virus et pourquoi pas faire un scan complet de votre ordinateur. N’appuyer pas sur les liens suspects dans les mails, faites examiner les branchements pĂ©riphĂ©riques comme les clĂ© usb avant de les insĂ©rer dans votre ordinateur et vĂ©rifiez toujours les sites que vous visitez.
Partagez nous !