Fancy Bear

Fancy Bear ("ours fantaisiste") ou Sofacy Group ou Advanced Persistent Threat 28 (APT28) ou Pawn Storm est un groupe de hackers supposément actif depuis 2004. Ce groupe de hackers est probablement lié aux renseignements militaires russes (GRU) mais aucune preuve irréfutable de ce lien n'a été publiée[1]^,[2].

Quatre officiers russes de la Direction générale de l'état-major général des forces armées de la Fédération de Russie, GRU, sont escortés jusqu'à leur vol après avoir été expulsés des Pays-Bas pour avoir prétendument tenté de pirater le réseau de l'OIAC en matière de surveillance chimique des Nations Unies. (Photo du ministère néerlandais de la Défense via AP)Appartenant soi-disant à Fancy Bear

Plusieurs cyberattaques seraient attribuées à ce groupe, notamment la cyberattaque contre TV5 Monde, le piratage du Comité national démocrate en lien avec l'Ingérence russe dans l'élection présidentielle américaine de 2016 et des piratages concernant le Bundestag, la Maison-Blanche, le site d'Emmanuel Macron "En Marche", l'OTAN et la chancellerie fédérale allemande. [3]^,[4].

Appartenance

Bien que cela ne soit pas prouvé de manière irréfutable, les autorités américaines accusent ce groupe de hackers d'être sous l'influence des autorités russes. En remontant aux propriétaires des noms de domaine, on s'aperçoit que les informations nominales sont fausses. Les paiements ayant été effectués en bitcoins ou par des cartes de paiement prépayées, par le biais de connexions passant par des nœuds Tor, il est impossible de déterminer avec certitude l'origine des hackers[5]^,[6]. L'appartenance ou l'inféodation au pouvoir politique russe a été déterminée par les agences de renseignement américaines sur la base de la probabilité que représenterait pour Moscou une campagne d'influence sur les élections américaines[7]^,[8].

Les activités

On attribue à ce groupe de hackers les piratages de :

l'Otan en 2015,
l'artillerie ukrainienne entre 2014 et 2016,
la vague mondiale de cyberattaques visant des entreprises industrielles, ou dans le domaine des services (notamment financiers) en 2015.
la Maison-Blanche (administration Obama) en 2015,
la chaîne de télévision francophone TV5 Monde en se faisant passer pour l'organisation terroriste EI en 2015,
l'Agence mondiale antidopage en 2015,
le Bundestag allemand et les pages internet gérées par le service de communication de la chancellerie fédérale en 2015,
le parti démocrate lors des élections présidentielles américaines de 2016,
le mouvement politique En Marche en amont de la campagne électorale des élections présidentielles françaises de 2017[5]^,[6]^,[2]^,[9].
la chancellerie fédérale allemande du milieu de 2017 à 2018
L'Onderzoeksraad Voor Veiligheid (OVV) ; littéralement Conseil de recherche pour la Sécurité, est attaqué en 2017 (l'OVV est l'organisme public néerlandais chargé de l’enquête sur Le vol 17 Malaysia Airlines -MH17- abattu en 2014 par un missile sol air au dessus de l'Ukraine en juillet 2014) alors que le rapport néerlandais accuse les séparatistes pro russe.
Le CIO en janvier 2018 alors qu'il a confirmé les sanctions visant de nombreux athlètes russes en raison de leur participation à un dopage institutionnalisé en marge des JO d'hiver à Sotchi.
L'Association internationale des fédérations d'athlétisme en 2017
plusieurs correspondants du New York Times ainsi que des journalistes travaillant pour des médias non russes dans divers pays : Russie, Ukraine, Moldavie, Arménie, Etats-Unis d'Amérique. Des membres du personnel diplomatique américains auraient été également visé.

Le combat de Microsoft

Microsoft mène depuis août 2016 un combat singulier contre ce groupe de hackers, qui utilise notamment des noms de domaine renvoyant aux marques détenues par Microsoft. Ces noms de domaines sont utilisés par les hackers pour ses activités de phishing, de contrôle des malwares diffusés ou de serveurs de stockage des informations reçues grâce aux malwares. Microsoft demande et obtient de la justice, la restitution de ces noms de domaines qui utilisent ses marques. Ce sont ainsi depuis 2016, approximativement 70 noms de domaine que Microsoft a récupéré. Une fois récupérés, Microsoft déconnecte les noms de domaine des serveurs utilisés pour les activités malveillantes du groupe de hackers. On trouve par exemple parmi les noms de domaine récupérés par Microsoft livemicrosoft.net, ActBlues.com ou rsshotmail.com. Le problème est qu'au fur et à mesure que Microsoft découvre puis récupère les noms de domaine faisant référence à ses marques, le groupe de hackers dépose et ouvre de nouveaux noms de domaine. Cependant, les nouveaux noms de domaine sont plus génériques et ne peuvent plus être récupérés par Microsoft par ce procédé[5]^,[6]^,[9].

Voir aussi

Articles connexes

Cyberwarfare by Russia (en)
Cozy Bear
The Shadow Brokers

Notes et références

Reynald Fléchaux, « En Marche est la cible d’attaques de phishing des services russes », Silicon.fr, 24 avril 2017 (consulté le 9 août 2017)
Amaelle Guiton, « Fancy Bear, l'espion qui aimait les élections », Libération, 28 juillet 2017 (consulté le 9 août 2017)
Yannick Van der Schueren, « La cyberguerre passe par des hackers russes très talentueux », Tribune de Genève, 16 décembre 2016 (consulté le 18 décembre 2016).
Benjamin Benoit, « Piratage : qui sont les « Fancy Bears », lanceurs d'alerte de l'antidopage? », L'Express, 16 septembre 2016 (consulté le 18 décembre 2016).
Reynald Fléchaux, « Microsoft combat les hackers russes de Fancy Bear avec… ses avocats », Silicon.fr, 21 juillet 2017 (consulté le 9 août 2017)
(en) Kevin Poulsen, « Putin’s Hackers Now Under Attack—From Microsoft », The Daily Beast, 20 juillet 2017 (consulté le 9 août 2017)
(en) National Intelligence Council, « Background to “Assessing Russian Activities and Intentions in Recent US Elections” : The Analytic Process and Cyber Incident Attribution » [PDF], National Intelligence Council, 6 janvier 2017 (consulté le 9 août 2017)
(en) Nancy A. Youssef Shane Harris, « FBI Suspects Russia Hacked DNC; U.S. Officials Say It Was to Elect Donald Trump », The Daily Beast, 25 juillet 2016 (consulté le 9 août 2017)
(en) John E Dunn, « Microsoft opens up a new front in the battle against Fancy Bear », Naked Security, 24 juillet 2017 (consulté le 9 août 2017)

Portail de la sécurité de l’information
Portail d’Internet
Portail du renseignement

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[Silicon_1-1] Reynald Fléchaux, « En Marche est la cible d’attaques de phishing des services russes », Silicon.fr, 24 avril 2017 (consulté le 9 août 2017)

[Liberation_1-2] Amaelle Guiton, « Fancy Bear, l'espion qui aimait les élections », Libération, 28 juillet 2017 (consulté le 9 août 2017)

[TDG_1-3] Yannick Van der Schueren, « La cyberguerre passe par des hackers russes très talentueux », Tribune de Genève, 16 décembre 2016 (consulté le 18 décembre 2016).

[LExpress_01-4] Benjamin Benoit, « Piratage : qui sont les « Fancy Bears », lanceurs d'alerte de l'antidopage? », L'Express, 16 septembre 2016 (consulté le 18 décembre 2016).

[Silicon_2-5] Reynald Fléchaux, « Microsoft combat les hackers russes de Fancy Bear avec… ses avocats », Silicon.fr, 21 juillet 2017 (consulté le 9 août 2017)

[DailyBeast_1-6] (en) Kevin Poulsen, « Putin’s Hackers Now Under Attack—From Microsoft », The Daily Beast, 20 juillet 2017 (consulté le 9 août 2017)

[DNI_1-7] (en) National Intelligence Council, « Background to “Assessing Russian Activities and Intentions in Recent US Elections” : The Analytic Process and Cyber Incident Attribution » [PDF], National Intelligence Council, 6 janvier 2017 (consulté le 9 août 2017)

[DailyBeast_2-8] (en) Nancy A. Youssef Shane Harris, « FBI Suspects Russia Hacked DNC; U.S. Officials Say It Was to Elect Donald Trump », The Daily Beast, 25 juillet 2016 (consulté le 9 août 2017)

[NakedSecurity_1-9] (en) John E Dunn, « Microsoft opens up a new front in the battle against Fancy Bear », Naked Security, 24 juillet 2017 (consulté le 9 août 2017)