APT28 : Sednit, FancyBear, Pawn Storm

19 mai 2020 Cybersecurity
IMG 20200501 WA0008
IMG 20200501 WA0008

Le groupe APT28, Sednit, FancyBear, Pawn Storm ou encore Sofacy est un groupe cyber criminel supposément actif depuis 2007. Pourquoi “supposément actif” me demanderez-vous ? Et bien il est possible que nous ne connaissions pas l’identité des personnes derrière ce groupe, ni depuis quand ils existent. Ainsi, il ne nous reste que des suppositions. Suppositions, qui d’ailleurs, nous mènent droit chez les Russes. Pourquoi les russes ? Tout simplement car, lors des recherches menées par la société Fireeye, il a été trouvé que la principale langue utilisée pour la plupart des malwares était le russe et les heures de compilations correspondaient au fuseau horaire de ce même pays entre les années 2007 et 2014. Mais même si ces éléments tendent à nous ramener sur la piste russe, cela ne reste aujourd’hui que des suppositions.

Quels sont les objectifs de FancyBear ? Comment procède-t-il ?

Tout d’abord, ses attaques visent les gouvernements, les médias, le domaine militaire en se concentrant sur la région caucasienne, l’Europe de l’est et les organisations internationales de sécurité (OTAN, OSCE). APT28 est un groupe qui sait contrôler plusieurs attaques en même temps. Il utilise également régulièrement le téléchargeur SOURFACE, le backdoor EVILTOSS, ainsi que l’’implant de cyber espionnage appelé CHOPSTICK. Ensemble, ces trois outils permettent de pirater un ordinateur, d’effectuer n’importe quelle action dessus et tout cela dans la plus grande discrétion car CHOPSTICK camoufle le transfert de données en simple trafic de mail. En tout cas, on ne peut pas nier que ce groupe d’APT est bien préparé.

Fancy Bear, APT28 utilise principalement des attaques de phishing et des fausses pages web créées par leurs soins. Leur but ? Essayer de tromper le public afin d’amasser grand nombre d’argent et d’informations confidentielles et privées. Par exemple, ils ont lancé, en août 2016, une attaque sur l’agence mondiale de l’antidopage. Aux vues des Jeux Olympiques de Rio, ce groupe cyber criminel a eu la bonne idée de lancer une campagne d’anti dopage visant les utilisateurs de l’agence. Ainsi, les sportifs participants aux Jeux Olympiques ont transmis leurs informations de connexions au groupe en se connectant sur la fausse page internet et ont permis à celui-ci d’utiliser les informations collectées sur la vraie page et d’avoir accès à tous les dossiers. Après ça, Fancy Bear a dénoncé les sportifs qui avaient été contrôlés positifs lors de leurs tests. Les résultats et les noms des sportifs ont été publiés sur le site fancybear.net. Cet événement, très traumatisant pour les sportifs mais très croustillant pour les férus de conflits, a montré que notre groupe cyber criminel avait la main mise sur le monde virtuel.

Comment détecter l’attaque d’un ATP ?

  • Premièrement, si vous vous rendez compte d’activités inhabituelles d’un utilisateur alors il y a des chances que ce soient nocif pour vous. Par exemple, si une personne vous envoie un mail inhabituel, ou alors si une personne que vous connaissez bien vous fait une demande étrange remplie de fautes d’orthographes. Car oui, écrire « Bonjour, vous vené de gagné 5000euro », est non seulement un signe d’analphabétisme effrayant, mais en plus, cela peut être un faux mail de phishing.
  • Attention si vous voyez un dossier qui ne devrait pas se trouver là et que vous ne connaissez pas, n’essayez pas de l’ouvrir sans être certain qu’il est bénin et favorisez l’éradication de l’anomalie (tout en demandant au préalable à vos proches si cela ne leur appartient pas bien-sûr, ça serait bête d’effacer l’album photo de mamie).
  • Enfin, pour vous protéger un maximum, n’oubliez pas d’installer un bon anti-virus et pourquoi pas faire un scan complet de votre ordinateur. N’appuyer pas sur les liens suspects dans les mails, faites examiner les branchements périphériques comme les clé usb avant de les insérer dans votre ordinateur et vérifiez toujours les sites que vous visitez.