Un rapport de F-Secure de 2015 décrit APT29 en ces termes : « The Dukes sont un groupe de cyberespionnage doté de moyens importants, très investi et organisé, qui, selon nous, travaille pour la Fédération de Russie depuis au moins 2008 afin de collecter du renseignement à l'appui de la prise de décision en matière de politique étrangère et de sécurité. The Dukes font preuve d'une confiance inhabituelle dans leur capacité à continuer de compromettre leurs cibles avec succès, ainsi que dans leur capacité à opérer en toute impunité. The Dukes visent principalement les gouvernements occidentaux et les organisations qui leur sont liées, telles que les ministères et agences gouvernementaux, les groupes de réflexion politiques et les sous-traitants gouvernementaux. Leurs cibles ont également inclus les gouvernements des membres de la Communauté des États indépendants ; des gouvernements asiatiques, africains et moyen-orientaux ; des organisations associées à l'extrémisme tchétchène ; et des russophones impliqués dans le commerce illicite de substances contrôlées et de drogues. The Dukes sont connus pour employer un vaste arsenal de boîtes à outils malveillantes, que nous identifions comme MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke et GeminiDuke. Ces dernières années, The Dukes se sont livrés à des campagnes de spear-phishing à grande échelle, apparemment semestrielles, contre des centaines voire des milliers de destinataires associés à des institutions gouvernementales et aux organisations affiliées. Ces campagnes recourent à une approche de type « smash-and-grab » consistant en une intrusion rapide mais bruyante, suivie de la collecte et de l'exfiltration rapides du plus grand volume de données possible. Si la cible compromise s'avère présenter un intérêt, The Dukes basculeront rapidement la boîte à outils utilisée vers des tactiques plus furtives axées sur la compromission persistante et la collecte de renseignement à long terme. Cet acteur malveillant cible les ministères et agences gouvernementaux en Occident, en Asie centrale, en Afrique de l'Est et au Moyen-Orient ; les groupes extrémistes tchétchènes ; le crime organisé russe ; et les groupes de réflexion. Il est soupçonné d'être à l'origine de la compromission en 2015 des réseaux non classifiés de la Maison-Blanche, du Département d'État, du Pentagone et de l'état-major interarmées. Cet acteur malveillant englobe l'ensemble des boîtes à outils des Dukes, notamment MiniDuke, CosmicDuke, OnionDuke, CozyDuke, SeaDuke, CloudDuke (aussi appelé MiniDionis) et HammerDuke (aussi appelé Hammertoss). »
Également connu sous le nom de
Group 100, COZY BEAR, The Dukes, Minidionis, SeaDuke, YTTRIUM, IRON HEMLOCK, Grizzly Steppe, G0016, ATK7, Cloaked Ursa, TA421, Blue Kitsune, ITG11, BlueBravo, Nobelium, UAC-0029, Midnight Blizzard, UNC2452.
Références
- labsblog.f-secure.com
- www2.fireeye.com
- us-cert.gov
- fireeye.com
- cfr.org
- pylos.co
- cloudblogs.microsoft.com
- secureworks.com
- attack.mitre.org
- unit42.paloaltonetworks.com
- go.recordedfuture.com
- cip.gov.ua
Métadonnées de l'acteur importées depuis Malpedia (Fraunhofer FKIE).