[go: up one dir, main page]

Fancy Bear

groupe de hackers

Fancy Bear ou Sofacy Group ou Advanced Persistent Threat 28 (APT28) ou Pawn Storm est un groupe de hackers supposément actif depuis 2004. Ce groupe de hackers est probablement lié aux renseignements militaires russes (GRU) mais aucune preuve irréfutable de ce lien n'a été publiée[1].

Plusieurs cyberattaques seraient attribuées à ce groupe, notamment la cyberattaque contre TV5 Monde, le piratage du Comité national démocrate en lien avec l'Ingérence russe dans l'élection présidentielle américaine de 2016 et des piratages concernant le Bundestag, la Maison-Blanche, le site du parti politique « En marche », l'OTAN et la chancellerie fédérale allemande[2],[3].

Appartenance

modifier

Bien que cela ne soit pas prouvé de manière irréfutable, les autorités américaines accusent ce groupe de hackers d'être sous l'influence des autorités russes. En remontant aux propriétaires des noms de domaine, on s'aperçoit que les informations nominales sont fausses. Les paiements ayant été effectués en bitcoins ou par des cartes de paiement prépayées, par le biais de connexions passant par des nœuds Tor, il est impossible de déterminer avec certitude l'origine des hackers[4]. L'appartenance ou l'inféodation au pouvoir politique russe a été déterminée par les agences de renseignement américaines sur la base de la probabilité que représenterait pour Moscou une campagne d'influence sur les élections américaines[5],[6].

Les activités

modifier

On attribue à ce groupe de hackers les piratages de :

Le combat de Microsoft

modifier

Microsoft mène depuis août 2016 un combat singulier contre ce groupe de hackers, qui utilise notamment des noms de domaine renvoyant aux marques détenues par Microsoft. Ces noms de domaines sont utilisés par les hackers pour ses activités d'hameçonnage, de contrôle des logiciels malveillants diffusés ou de serveurs de stockage des informations reçues grâce aux malwares. Microsoft demande et obtient de la justice, la restitution de ces noms de domaines qui utilisent ses marques. Ce sont ainsi depuis 2016, approximativement 70 noms de domaine que Microsoft a récupéré. Une fois récupérés, Microsoft déconnecte les noms de domaine des serveurs utilisés pour les activités malveillantes du groupe de hackers. On trouve par exemple parmi les noms de domaine récupérés par Microsoft livemicrosoft.net, ActBlues.com ou rsshotmail.com. Le problème est qu'au fur et à mesure que Microsoft découvre puis récupère les noms de domaine faisant référence à ses marques, le groupe de hackers dépose et ouvre de nouveaux noms de domaine. Cependant, les nouveaux noms de domaine sont plus génériques et ne peuvent plus être récupérés par Microsoft par ce procédé[4],[7].

Techniques d'attaque

modifier

En octobre 2022, le groupe de hackers APT28 semble avoir mis au point une nouvelle méthode d'exécution de code basée sur le mouvement de la souris lors du lancement du mode présentation d'un document PowerPoint. Cette méthode est destinée à infecter des ordinateurs PC via de faux documents paraissant inoffensifs[10].

Voir aussi

modifier

Articles connexes

modifier

Notes et références

modifier
  1. a et b Amaelle Guiton, « Fancy Bear, l'espion qui aimait les élections », Libération, (consulté le )
  2. Yannick Van der Schueren, « La cyberguerre passe par des hackers russes très talentueux », Tribune de Genève, (consulté le )
  3. Benjamin Benoit, « Piratage : qui sont les « Fancy Bears », lanceurs d'alerte de l'antidopage? », L'Express, (consulté le ).
  4. a b et c (en) Kevin Poulsen, « Putin’s Hackers Now Under Attack—From Microsoft », The Daily Beast, (consulté le )
  5. (en) National Intelligence Council, « Background to “Assessing Russian Activities and Intentions in Recent US Elections” : The Analytic Process and Cyber Incident Attribution » [PDF], National Intelligence Council, (consulté le )
  6. (en) Nancy A. Youssef Shane Harris, « FBI Suspects Russia Hacked DNC; U.S. Officials Say It Was to Elect Donald Trump », The Daily Beast, (consulté le )
  7. a et b (en) John E Dunn, « Microsoft opens up a new front in the battle against Fancy Bear », Naked Security, (consulté le )
  8. Bogdan Bodnar, « Des hackers de Moscou infiltrent un satellite américain » Accès libre , Numérama, (consulté le )
  9. Kenza Soares El Sayed, « "APT28" : cette étrange cellule de hackers russes qui fait de l’ingérence politique en Europe » Accès libre , L'Express, (consulté le )
  10. Nathan Le Gohlisse, « Des hackers utiliseraient la fonction "survol" de PowerPoint pour infecter nos PC » Accès libre , Clubic, (consulté le )