Skip to content

Incidents attribués à :

APT29

Un rapport de F-Secure de 2015 décrit APT29 en ces termes : « The Dukes sont un groupe de cyberespionnage doté de moyens importants, très investi et organisé, qui, selon nous, travaille pour la Fédération de Russie depuis au moins 2008 afin de collecter

Un rapport de F-Secure de 2015 décrit APT29 en ces termes : « The Dukes sont un groupe de cyberespionnage doté de moyens importants, très investi et organisé, qui, selon nous, travaille pour la Fédération de Russie depuis au moins 2008 afin de collecter du renseignement à l'appui de la prise de décision en matière de politique étrangère et de sécurité. The Dukes font preuve d'une confiance inhabituelle dans leur capacité à continuer de compromettre leurs cibles avec succès, ainsi que dans leur capacité à opérer en toute impunité. The Dukes visent principalement les gouvernements occidentaux et les organisations qui leur sont liées, telles que les ministères et agences gouvernementaux, les groupes de réflexion politiques et les sous-traitants gouvernementaux. Leurs cibles ont également inclus les gouvernements des membres de la Communauté des États indépendants ; des gouvernements asiatiques, africains et moyen-orientaux ; des organisations associées à l'extrémisme tchétchène ; et des russophones impliqués dans le commerce illicite de substances contrôlées et de drogues. The Dukes sont connus pour employer un vaste arsenal de boîtes à outils malveillantes, que nous identifions comme MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke et GeminiDuke. Ces dernières années, The Dukes se sont livrés à des campagnes de spear-phishing à grande échelle, apparemment semestrielles, contre des centaines voire des milliers de destinataires associés à des institutions gouvernementales et aux organisations affiliées. Ces campagnes recourent à une approche de type « smash-and-grab » consistant en une intrusion rapide mais bruyante, suivie de la collecte et de l'exfiltration rapides du plus grand volume de données possible. Si la cible compromise s'avère présenter un intérêt, The Dukes basculeront rapidement la boîte à outils utilisée vers des tactiques plus furtives axées sur la compromission persistante et la collecte de renseignement à long terme. Cet acteur malveillant cible les ministères et agences gouvernementaux en Occident, en Asie centrale, en Afrique de l'Est et au Moyen-Orient ; les groupes extrémistes tchétchènes ; le crime organisé russe ; et les groupes de réflexion. Il est soupçonné d'être à l'origine de la compromission en 2015 des réseaux non classifiés de la Maison-Blanche, du Département d'État, du Pentagone et de l'état-major interarmées. Cet acteur malveillant englobe l'ensemble des boîtes à outils des Dukes, notamment MiniDuke, CosmicDuke, OnionDuke, CozyDuke, SeaDuke, CloudDuke (aussi appelé MiniDionis) et HammerDuke (aussi appelé Hammertoss). »

Également connu sous le nom de

Group 100, COZY BEAR, The Dukes, Minidionis, SeaDuke, YTTRIUM, IRON HEMLOCK, Grizzly Steppe, G0016, ATK7, Cloaked Ursa, TA421, Blue Kitsune, ITG11, BlueBravo, Nobelium, UAC-0029, Midnight Blizzard, UNC2452.

Références


Métadonnées de l'acteur importées depuis Malpedia (Fraunhofer FKIE).

Incidents liés

Chaîne d’approvisionnementContenu

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss
$100.00B