Un groupe notoire «Fancy Bear» ciblant fortement les systèmes de messagerie européens avec des attaques de phishing.
La guerre en Ukraine a provoqué une résurgence d’activité par le célèbre groupe russe APT28 / Fancy Bear, a déclaré l’agence française de cybersécurité ANSSI.
Selon un bref rapport publié par l’agence cette semaine, le groupe cible désormais agressivement les réseaux d’organisations gouvernementales et d’entreprises liées aux alliés de l’Ukraine, y compris la France.
Depuis 2021, le groupe a ciblé des secteurs industriels spécifiques, notamment l’aérospatiale, les services financiers, les groupes de réflexion et la recherche, le gouvernement local et les ministères du gouvernement.
Rien qu’Apt28 ne se démarque comme unique pour un groupe d’État-nation, qui suivent tous une similaire, c’est plus le mélange de techniques signature, y compris un ciblage minutieux des victimes et la tentative d’échapper à la détection en se cachant derrière des infrastructures publiques et libres, selon le rapport.
«Une telle infrastructure peut être constituée de serveurs loués, de services d’hébergement gratuits, de services VPN et de services de création d’adresse e-mail temporaire. L’utilisation de ces services offre une plus grande flexibilité dans la création et l’administration de nouvelles ressources et améliore la furtivité», ont déclaré les auteurs du rapport.
«En effet, un certain nombre de ces services sont également légitimement utilisés par les particuliers et les entreprises – ce qui complique encore la détection et la surveillance de ces infrastructures par les équipes de sécurité.»
Une chose ressort clairement du rapport: APT28 prend le phishing très au sérieux. Un thème de l’activité du groupe depuis 2023 a été ses tentatives de voler des informations d’identification, soit à travers différents types d’attaques de phishing, soit en exfiltrant les informations d’identification stockées dans les navigateurs Web.
Pourquoi ANSSI a-t-il publié le rapport?
Peu dans le rapport sera la nouvelle pour les observateurs de l’industrie; Les groupes de piratage russes, y compris APT28, sont déjà bien documentés. Peut-être plus important est le fait qu’il a été publié, y compris une version en anglais pour compléter le français habituel. ANSSI a récemment rejoint d’autres agences de sécurité nationale du monde entier en publiant des rapports en anglais, dans le cadre d’une tentative de mieux forger des liens avec les agences et les experts dans d’autres pays.
Une autre motivation pourrait simplement être de rappeler à tout le monde que l’APT28 est toujours très actif, le rapport faisant référence aux attaques qui ont eu lieu en France aussi récemment que 2024.
Connexion GU
L’APT28 a été nommé par codenage Fancy Bear par la société de sécurité américaine Crowdstrike en 2014, mais il est également identifié par un éventail déroutant d’autres surnoms, notamment Strontium (Microsoft), Sofacy (Palo Alto), Sednit (ESET) et Pawn Storm (Trend Micro).
Des groupes produisant des APT (une désignation créée par l’armée américaine pour un type de cyber-activité malveillante) vont et viennent, mais en quelque sorte, APT28 continue d’évoluer. C’est sa première caractéristique notable – une longévité que certains chercheurs pensent pourrait remonter jusqu’à deux décennies dans une ère Internet antérieure.
Un deuxième aspect de l’APT28 qui est venu à dominer son image publique est son lien avec le service de renseignement de GRU de la Russie. Le groupe a été blâmé pour une séquence extraordinaire d’attaques au cours de la dernière décennie, surtout peut-être la campagne en 2016 contre le Comité national démocrate américain (DNC) et la candidate à la présidentielle Hillary Clinton.
En plus de vols en masse, ciblant les systèmes de courrier, le groupe a également essayé d’exploiter les vulnérabilités majeures et de ramper dans les déambulations dans les routeurs Cisco. Et tout cela s’est produit avant qu’il n’ait tourné sur l’Ukraine après l’invasion de 2022.
