Présentation APT

APT 28 (Fancy Bear)

Farès, Jade, Mehdi, Adel

Start

Présentation de Fancy Bear (infos organisationnelles) :

Plusieurs cyberattaques : -TV5 Monde, -Comité national démocrate en lien avec l'Ingérence russe (élection présidentielle américaine de 2016) - Bundestag, - Maison-Blanche, - site du parti politique « En marche », - OTAN et la chancellerie fédérale allemande.

Origine : - Groupe de cyber espionnage russe - Identifié pour la première fois au début des années 2000 - Cibles principales : gouvernements, organisations militaires, médias et groupes politiques (Europe, Etats-Unis)

Motivations

Ils ciblent: l’aérospatial, la défense, l’énergie, le gouvernement ainsi que les médias. But : - Collecter des informations stratégiques et sensibles pour le gouvernement russe. - Servir à aider la planification militaire et stratégique russe. - Mieux appréhender les positions de puissances rivales - Déstabiliser des gouvernements étrangers (élections) - Maintenir et renforcer son influence géopolitique

Lien avec l'Etat

- Etroitement lié à l'État russe, plus précisément au GRU, (service de renseignement militaire) - S'attaque à des entités qui représentent une menace ou un défi pour la Russie

Les principales attaques/cibles :

Fancy Bear fait preuve d'une approche sophistiquée du cyber espionnage, tactiques telles que : - Messages de spear-phishing - Récupération d'identifiants à l'aide de sites Web falsifiés (technique "man in the middle" par exemple)

Les plus grandes attaques :

Les Fancy Bear Usages de spear-phishing et la récupération d'identifiants à l'aide de sites Web falsifiés Otan en 2015, artillerie ukrainienne (2014-2016), vague mondiale de cyberattaques visant des entreprises industrielles, ou dans le domaine des services (notamment financiers) en 2015.

Le mode opératoire :

Concrétisation des attaques : Modèle en plusieurs phases - Spear phishing - Exploitation des failles de sécurité - Attaque par déni de service distribué (DDoS)

L’origine des attaques : Cyberattaques dans le cadre des objectifs géopolitiques russes Cibles : Entités "adversaires" de la Russie (gouvernements occidentaux, organisations militaires (comme l'OTAN), et ONG

Exploitation des données volées

Utilisées à des fins de désinformation ou de manipulation politique: Publient des informations volées sur des plateformes comme WikiLeaks Compromettre des personnalités politiques ou organisations (ex: fuite des e-mails du Comité national démocrate (DNC), 2016) Alimenter des campagnes de désinformation fournir des renseignements exploitables par le gouvernement russe.

Les différents mécanismes de défense :

Les mesures prises à leur encontre sont diverses

Les manières de contrer leurs attaques :Approche “Zero Trust” Entreprises spécialisées dans la Cyber Threat Intelligence (CrowdStrike) L’Intelligence Artificielle et le Machine Learning Appâtage Avancé ou Deception Technology Entreprises spécialisées dans le groupe (Radware)

Poursuivre le groupe en justicesanctions financières (Etats-Unis) Mesures sociales (bannissements, suspensions)

Les moyens de récupérer les données

Plusieurs étapes : -Analyser l’incident et évaluer les pertes -Prendre contact avec les autorités -Rechercher (Dark Web) -Négocier -Modifier ses identifiants et mots de passe Attaquer le groupe en justice

APT 28

• est très difficile à retrouver
• utilise plusieurs moyens d'attaques différents
• est très recherché
• à un rapport indéfini avec la Russie
• est expert dans la cybercriminalité.