L'équipe de l'Unité 42 de Palo Alto Networks a publié un nouveau rapport de recherche qui fournit de nouvelles preuves et informations sur les activités en cours de l'acteur menaçant soutenu par la Russie « Fighting Ursa », mieux connu sous le nom de « APT28 » ou « Fancy Bear ».
Plus tôt cette année, des chercheurs ukrainiens en cybersécurité ont découvert que Fighting Ursa exploitait un exploit zero-day dans Microsoft Outlook (maintenant connu sous le nom de CVE-2023-23397). Cette vulnérabilité est particulièrement préoccupante car son exploitation ne nécessite aucune interaction de l’utilisateur. Les chercheurs de l’Unité 42 ont observé ce groupe utilisant le CVE-20-2023 au cours des 23397 derniers mois pour cibler au moins 30 organisations dans 14 pays susceptibles d’avoir une valeur de renseignement stratégique pour le gouvernement russe et son armée.
Exploit Zero Day dans Microsoft Outlook comme base
Pendant ce temps, Fighting Ursa a mené au moins deux campagnes avec cette vulnérabilité qui ont été rendues publiques. La première s'est produite entre mars et décembre 2022 et la seconde en mars 2023. Les chercheurs de l'unité 42 ont découvert une troisième campagne récemment active dans laquelle Fighting Ursa a également exploité cette vulnérabilité. Le groupe a mené cette dernière campagne entre septembre et octobre 2023, ciblant au moins neuf organisations dans sept pays.
Sur les 14 pays cibles des trois campagnes, tous sont des organisations appartenant à des pays membres de l'OTAN, à l'exception des unités en Ukraine, en Jordanie et aux Émirats arabes unis. Ces organisations comprenaient des infrastructures et des installations critiques qui fournissent un avantage informationnel dans les affaires diplomatiques, économiques et militaires.
Les objectifs les plus importants de l’APT28 en un coup d’œil
- Production et distribution d'électricité
- Opérations de pipelines
- Transport de matériel, de personnel et aérien
- Ministères de la Défense
- Ministères des Affaires étrangères
- Ministères de l'Intérieur
- Ministères des Affaires Économiques
Fighting Ursa (également connu sous le nom d'APT28, Fancy Bear, Strontium/Forest Blizzard, Pawn Storm, Sofacy ou Sednit) est un groupe lié au renseignement militaire russe et connu pour se concentrer sur des cibles d'intérêt russe - en particulier celles d'intérêt militaire. La lutte contre Ursa a été attribuée à l'unité de renseignement militaire 26165 du 85e Centre de services spéciaux (GTsSS) de l'état-major russe.
Toutes les campagnes expliquées par des experts
Les experts de Palo Alto Networks ont analysé toutes les campagnes étape par étape et montrent toutes les étapes de fond et d'attaque d'APT28 dans leur article de blog anglais « Fighting Ursa Aka APT28 : Illuminating a Covert Campaign ».
Plus sur PaloAltoNetworks.com
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.