Fancy Bear

Fancy Bear ou Sofacy Group ou Advanced Persistent Threat 28 (APT28) ou Pawn Storm est un groupe de hackers supposément actif depuis 2004. Ce groupe de hackers est probablement lié aux renseignements militaires russes (GRU) mais aucune preuve irréfutable de ce lien n'a été publiée^[1].

Plusieurs cyberattaques seraient attribuées à ce groupe, notamment la cyberattaque contre TV5 Monde, le piratage du Comité national démocrate en lien avec l'Ingérence russe dans l'élection présidentielle américaine de 2016 et des piratages concernant le Bundestag, la Maison-Blanche, le site du parti politique « En marche », l'OTAN et la chancellerie fédérale allemande^[2]^,^[3].

Appartenance[modifier | modifier le code]

Bien que cela ne soit pas prouvé de manière irréfutable, les autorités américaines accusent ce groupe de hackers d'être sous l'influence des autorités russes. En remontant aux propriétaires des noms de domaine, on s'aperçoit que les informations nominales sont fausses. Les paiements ayant été effectués en bitcoins ou par des cartes de paiement prépayées, par le biais de connexions passant par des nœuds Tor, il est impossible de déterminer avec certitude l'origine des hackers^[4]. L'appartenance ou l'inféodation au pouvoir politique russe a été déterminée par les agences de renseignement américaines sur la base de la probabilité que représenterait pour Moscou une campagne d'influence sur les élections américaines^[5]^,^[6].

Les activités[modifier | modifier le code]

On attribue à ce groupe de hackers les piratages de :

l'Otan en 2015,
l'artillerie ukrainienne entre 2014 et 2016,
la vague mondiale de cyberattaques visant des entreprises industrielles, ou dans le domaine des services (notamment financiers) en 2015.
la Maison-Blanche (administration Obama) en 2015,
la chaîne de télévision francophone TV5 Monde en se faisant passer pour l'organisation terroriste EI en 2015,
l'Agence mondiale antidopage en 2015,
le Bundestag allemand et les pages internet gérées par le service de communication de la chancellerie fédérale en 2015,
le parti démocrate lors des élections présidentielles américaines de 2016,
le mouvement politique En Marche en amont de la campagne électorale des élections présidentielles françaises de 2017^[4]^,^[1]^,^[7].
la chancellerie fédérale allemande du milieu de 2017 à 2018
L'Onderzoeksraad Voor Veiligheid (OVV) ; littéralement Conseil de recherche pour la Sécurité, est attaqué en 2017 (l'OVV est l'organisme public néerlandais chargé de l’enquête sur Le vol 17 Malaysia Airlines -MH17- abattu en 2014 par un missile sol air au dessus de l'Ukraine en juillet 2014) alors que le rapport néerlandais accuse les séparatistes pro russe.
Le CIO en janvier 2018 alors qu'il a confirmé les sanctions visant de nombreux athlètes russes en raison de leur participation à un dopage institutionnalisé en marge des JO d'hiver à Sotchi.
L'Association internationale des fédérations d'athlétisme en 2017
plusieurs correspondants du New York Times ainsi que des journalistes travaillant pour des médias non russes dans divers pays : Russie, Ukraine, Moldavie, Arménie, Etats-Unis d'Amérique. Des membres du personnel diplomatique américains auraient été également visé.
Le CISA (agence de cybersécurité américaine) a détecté en décembre 2022 la pénétration du réseau informatique d'un satellite privé américain. D'après les analyses qui en ont été faites, les pirates étaient installés sur ce satellite depuis des mois. Le mode silencieux utilisé pour l'opération de pénétration du satellite conduit à penser que le satellite était victime d'espionnage^[8].

Le combat de Microsoft[modifier | modifier le code]

Microsoft mène depuis août 2016 un combat singulier contre ce groupe de hackers, qui utilise notamment des noms de domaine renvoyant aux marques détenues par Microsoft. Ces noms de domaines sont utilisés par les hackers pour ses activités d'hameçonnage, de contrôle des logiciels malveillants diffusés ou de serveurs de stockage des informations reçues grâce aux malwares. Microsoft demande et obtient de la justice, la restitution de ces noms de domaines qui utilisent ses marques. Ce sont ainsi depuis 2016, approximativement 70 noms de domaine que Microsoft a récupéré. Une fois récupérés, Microsoft déconnecte les noms de domaine des serveurs utilisés pour les activités malveillantes du groupe de hackers. On trouve par exemple parmi les noms de domaine récupérés par Microsoft livemicrosoft.net, ActBlues.com ou rsshotmail.com. Le problème est qu'au fur et à mesure que Microsoft découvre puis récupère les noms de domaine faisant référence à ses marques, le groupe de hackers dépose et ouvre de nouveaux noms de domaine. Cependant, les nouveaux noms de domaine sont plus génériques et ne peuvent plus être récupérés par Microsoft par ce procédé^[4]^,^[7].

Techniques d'attaque[modifier | modifier le code]

En octobre 2022, le groupe de hackers APT28 semble avoir mis au point une nouvelle méthode d'exécution de code basée sur le mouvement de la souris lors du lancement du mode présentation d'un document PowerPoint. Cette méthode est destinée à infecter des ordinateurs PC via de faux documents paraissant inoffensifs^[9].

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Notes et références[modifier | modifier le code]

↑ ^{a et b} Amaelle Guiton, « Fancy Bear, l'espion qui aimait les élections », Libération, 28 juillet 2017 (consulté le 9 août 2017)
↑ Yannick Van der Schueren, « La cyberguerre passe par des hackers russes très talentueux », Tribune de Genève, 16 décembre 2016 (consulté le 18 décembre 2016)
↑ Benjamin Benoit, « Piratage : qui sont les « Fancy Bears », lanceurs d'alerte de l'antidopage? », L'Express, 16 septembre 2016 (consulté le 18 décembre 2016).
↑ ^{a b et c} (en) Kevin Poulsen, « Putin’s Hackers Now Under Attack—From Microsoft », The Daily Beast, 20 juillet 2017 (consulté le 9 août 2017)
↑ (en) National Intelligence Council, « Background to “Assessing Russian Activities and Intentions in Recent US Elections” : The Analytic Process and Cyber Incident Attribution » [PDF], National Intelligence Council, 6 janvier 2017 (consulté le 9 août 2017)
↑ (en) Nancy A. Youssef Shane Harris, « FBI Suspects Russia Hacked DNC; U.S. Officials Say It Was to Elect Donald Trump », The Daily Beast, 25 juillet 2016 (consulté le 9 août 2017)
↑ ^{a et b} (en) John E Dunn, « Microsoft opens up a new front in the battle against Fancy Bear », Naked Security, 24 juillet 2017 (consulté le 9 août 2017)
↑ Bogdan Bodnar, « Des hackers de Moscou infiltrent un satellite américain » , Numérama, 20 décembre 2022 (consulté le 21 décembre 2022)
↑ Nathan Le Gohlisse, « Des hackers utiliseraient la fonction "survol" de PowerPoint pour infecter nos PC » , Clubic, 5 octobre 2022 (consulté le 5 octobre 2022)

[Liberation_1-1] {a et b} Amaelle Guiton, « Fancy Bear, l'espion qui aimait les élections », Libération, 28 juillet 2017 (consulté le 9 août 2017)

[TDG_1-2] Yannick Van der Schueren, « La cyberguerre passe par des hackers russes très talentueux », Tribune de Genève, 16 décembre 2016 (consulté le 18 décembre 2016)

[LExpress_01-3] Benjamin Benoit, « Piratage : qui sont les « Fancy Bears », lanceurs d'alerte de l'antidopage? », L'Express, 16 septembre 2016 (consulté le 18 décembre 2016).

[DailyBeast_1-4] {a b et c} (en) Kevin Poulsen, « Putin’s Hackers Now Under Attack—From Microsoft », The Daily Beast, 20 juillet 2017 (consulté le 9 août 2017)

[DNI_1-5] (en) National Intelligence Council, « Background to “Assessing Russian Activities and Intentions in Recent US Elections” : The Analytic Process and Cyber Incident Attribution » [PDF], National Intelligence Council, 6 janvier 2017 (consulté le 9 août 2017)

[DailyBeast_2-6] (en) Nancy A. Youssef Shane Harris, « FBI Suspects Russia Hacked DNC; U.S. Officials Say It Was to Elect Donald Trump », The Daily Beast, 25 juillet 2016 (consulté le 9 août 2017)

[NakedSecurity_1-7] {a et b} (en) John E Dunn, « Microsoft opens up a new front in the battle against Fancy Bear », Naked Security, 24 juillet 2017 (consulté le 9 août 2017)

[8] Bogdan Bodnar, « Des hackers de Moscou infiltrent un satellite américain » , Numérama, 20 décembre 2022 (consulté le 21 décembre 2022)

[9] Nathan Le Gohlisse, « Des hackers utiliseraient la fonction "survol" de PowerPoint pour infecter nos PC » , Clubic, 5 octobre 2022 (consulté le 5 octobre 2022)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]