APT28
APT28, largement désigné sous le nom de Fancy Bear, est un acteur de cybermenace sophistiqué étroitement lié au GRU russe, également connu sous les noms de Sofacy, Sednit ou Pawn Storm, avec un long historique d'opérations de cyberespionnage.
APT28 se distingue par son utilisation d'outils malveillants personnalisés, notamment Hatvibe et CherrySpy. Les opérations d'APT28 mettent en évidence la nature évolutive des cybermenaces. L'équipe TDR de Sekoia.io surveille activement les activités de ce groupe et publie régulièrement des analyses sur ses campagnes.
Capacités et méthodes clés d'APT28
Techniques et outils
- Campagnes de phishing : APT28 déploie fréquemment des e-mails de spear-phishing pour tromper des cibles de grande valeur.
- Exploitation des vulnérabilités : Le groupe est expert dans l'exploitation des vulnérabilités logicielles, notamment CVE-2023-23397 dans Microsoft Outlook.
- Déploiement de malware : L'arsenal d'APT28 comprend Mimikatz, ReGeorg, l'implant Graphite et des frameworks open source comme Empire.
Campagnes notables
- Exploits Microsoft Exchange : Le groupe a ciblé des vulnérabilités Microsoft Exchange pour infiltrer des réseaux gouvernementaux et d'entreprises.
- Espionnage en Asie centrale : APT28 a mené des campagnes d'espionnage contre des entités diplomatiques en Asie centrale.
- Ingérence dans les processus démocratiques : L'implication présumée du groupe dans le piratage du Comité national démocrate (DNC) en 2016.
Impact sur la cybersécurité
Les opérations d'APT28 ont de profondes implications pour la cybersécurité : menace pour la sécurité nationale, mesures défensives en évolution constante, et impact économique significatif via l'espionnage industriel.
