Apt 28 hackers russes 1

Les hackers de Poutines infiltrent leurs codes partout

Les hackers russes d'APT 28, aussi connus sous les pseudos Sofacy et Fancy Bear ont fait l'objet d'une étude de la société de sécurité Eset.

A leur tableau de chasse, on peut trouver l'Agence Mondiale Antidopage, le Parti Démocrate Américain ou encore, chez nous, la chaîne TV 5 monde, en Allemagne, le Parlement.

Eset a publié son premier rapport sur « Sednik », c'est ainsi que la société de sécurité nomme ce groupe d'hackers.

On peut y lire les moyens utilisés et les cibles privilégiées de ce groupe.

La cible des hackers de Poutine est large

D'après ce rapport, plus d'un milliers de personnes ayant un rôle décisionnaire dans les milieux aussi diversifiés que la diplomatie, le journalisme ou les organisations gouvernementales.

  • Au moins 16 ambassades auraient été visées par ces attaques, (Algérie, Liban, Inde...).
  • Les ministères de la Défense du Pakistan ou de la Turquie et de l'Ukraine, entre autres, ont été ciblés.
  • Des membres de l'Otan, des journalistes, des chercheurs invités dans des conférences en Russie...la liste est longue !

Au moins 6 failles zéro-day ont été utilisées en 2015, ce qui laisse pensé à un soutien technique et financier important.

Les cibles et quelques indices techniques laissent à penser que ce groupe agit pour le Kremlin.

Par contre pour tendre leurs pièges, toujours les bonnes vieilles méthodes pour infecté un utilisateur et surtout son ordinateur qui ont fait leurs preuves !

  • La pièce jointe
  • Le site Web

Un email avec un document important ou un mail écrit par un responsable, un document Word, Excel Powerpoint...PDF...joint à ce mail, et le piège se referme, le document étant bien sur piégé en utilisant une faille de sécurité du logiciel servant de support à la piéce jointe. Un malware sera installé aussitot le clic pour ouvrir le document effectué. 

Hacker dirigés par PoutineLa deuxième méthode utilisé repose sur Sedkit, un kit personnalisable servant à piéger la cible.

Elle reçoit un mail avec un lien d'un site connu, sauf que le lien est légèrement modifié pour diriger la victime sur un site maison.

Le fait de cliquer sur le lien va permettre de récolter un tas d'informations sur l'ordinateur (type de navigateur, plugin installés, type d’écran...) qui vont servir à identifier l'utilisateur, méthode un peu similaire à celles utilisées par les régies publicitaires.

  • Le serveur décide alors s'il doit infecter la machine cible.
  • Si c'est oui, une faille d'un navigateur, de Flash Player ou de Java sera utilisée pour infecté l'ordinateur.
  • Les Mac ne sont pas oubliés, avec MacKeeper .
  • La connexion Internet sera ensuite analysé afin de déterminer le moyen de contacter les serveurs de contrôle et de commande des pirates.
  • Si un Pare-Feu ou logiciel de sécurité protège l'ordinateur de façon efficace, un code sera directement injecté dans le processus du navigateur.

Si tout va bien pour les hackers, ils n'ont plus qu'à injecter le Malware qui servira à l'espionnage du PC de la victime.

Les "hackers de Poutine" américains ?

Le dirigeant russe se dédouane en expliquant que les hackers peuvent être n'importe où...

Poutine s'exprime sur les doutes d'ingérence de la Russie dans diverses élections dans les états occidentaux :

« Les hackers pourraient habiter n'importe où: en Russie, en Asie, même en Amérique, en Amérique latine. D'ailleurs, cela pourraient être des hackers des États-Unis qui ont très habilement et professionnellement rejeté la faute sur la Russie. Pouvez-vous l'admettre? Dans une situation de lutte politique acharnée? Moi, je peux ».

Régulierement les hommes politiques et médias occidentaux mettent en cause la Russie dans diverses affaires où le doute de hackage planne.
Ils n'ont jamais pu amener la preuve de la participation de hackers dirigés par le Kremlin.

Mais sans aucun doute, le GRU, service secret militaire russe n'est jamais très loin des divers groupes de hackers russe.

Web espionnage sécurité hacker russes