[Dossier] APT28 Fancy Bear : Les hackers russes du GRU dévoilés
-
12 noms. 12 officiers russes formellement identifiés et inculpés pour avoir piraté la démocratie occidentale. Pas des pseudos, pas des avatars, non, non, non, leurs vrais noms, leurs grades et leurs unités militaires. Viktor Netyksho, Boris Antonov, Dmitriy Badin… Une liste qui ressemble à un générique de film d’espionnage, sauf que ces types ont vraiment existé et ont vraiment foutu le bordel dans les élections américaines.
Fancy Bear. Le nom fait sourire, on dirait un skin Fortnite ou un pseudo de streamer Twitch mais derrière ce blaze mignon se cache la plus redoutable machine de guerre numérique de la planète. Je vous parle de 20 ans d’activité, de dizaines de pays infiltrés, des élections piratées et j’en passe ! Bref, un ours en peluche avec des griffes en acier trempé.
Je me suis plongé dans les archives, les rapports d’enquête, les actes d’accusation du procureur Mueller et franchement, ce que j’y ai découvert dépasse tout ce qu’on peut imaginer sur la cyber-guerre moderne.
APT28, ce n’est pas juste un groupe de hackers qui s’ennuient le weekend, mais c’est l’Unité 26165 du GRU, le renseignement militaire russe. Une vraie machine industrielle d’espionnage numérique avec des budgets de ministère, des objectifs géopolitiques clairs, et surtout… des noms et des visages qu’on connaît maintenant grâce aux Américains qui les ont grillés.
– Carte interactive des groupes APT dans le monde - Source: APTMAPMais commençons par le début. 2004, pendant qu’on découvrait Facebook et qu’on se demandait si cette histoire d’internet allait vraiment décoller, les services russes créaient déjà leur première unité de cyber-guerre. APT28 naît donc dans les couloirs sombres du GRU, cette énorme machine de renseignement militaire russe qui fait passer la CIA pour un club de scouts.
Les premiers coups ?
Artisanaux, limite bricolage du dimanche avec des emails de phishing basiques qui feraient rire aujourd’hui, des exploits trouvés sur des forums publics type Hackforums. Bref, rien de bien méchant, quoi. Mais déjà, les enquêteurs remarquent des détails troublants…. leurs malwares sont compilés dans un environnement en langue russe, et curieusement, les attaques ont toujours lieu pendant les heures de bureau… à Moscou. Entre 9h et 18h, jamais le weekend, jamais les jours fériés russes. Ces mecs respectaient même le 9 mai, jour de la victoire ! Coïncidence ? Je ne crois pas…
FireEye, la boîte de cybersécurité qui les suit depuis le début comme un détective privé obsessionnel, a découvert un truc hallucinant : en 2015 déjà, APT28 utilisait 6 exploits zero-day différents d’un coup. SIX ! Pour vous donner une idée, c’est comme si votre garagiste se pointait avec la panoplie complète des outils de réparation d’une Formule 1 + un réacteur de navette spatiale pour réparer votre Twingo GTI. Hé ouais car un zero-day, ça coûte entre 100 000 et 1 million de dollars sur le marché noir donc je vous laisse faire le calcul de leurs ambitions.
Et leur évolution est fulgurante. En quelques années, ils passent du niveau “script kiddie qui suit des tutos YouTube” au niveau “agence gouvernementale avec budget illimité et équipe de 200 développeurs”. X-Agent, leur backdoor signature (un nom de médicament contre l’anxiété, c’est ironique non ?), Sofacy, leur suite d’outils modulaires plus complète qu’Office 365, CHOPSTICK pour l’accès persistant…etc. Chaque malware a un nom, une fonction précise, une version, un changelog. C’est de l’industrialisation [censored] et dure, du fordisme appliqué au piratage.
– Voici comment ils bossent :
- Phase 1 - Reconnaissance : Des semaines à stalker leurs cibles sur LinkedIn, Facebook, les sites corporate. Ils notent tout : qui est le DSI, qui sont les admins, quels logiciels sont utilisés. Du OSINT de compétition.
- Phase 2 - Accès initial : Spear-phishing ultra personnalisé (“Bonjour Jean-Michel, suite à notre conversation sur le projet X…”), exploitation de 0-days tout frais, watering hole sur les sites que la cible visite. Multi-vectoriel.
- Phase 3 - Installation : Déploiement de X-Agent, création de comptes utilisateurs discrets (souvent avec des noms génériques genre “svchost” ou “backup”), tunnels SSH chiffrés vers leurs serveurs C2.
- Phase 4 - Escalade : Mimikatz pour chopper les hashs NTLM, pass-the-hash pour devenir Domain Admin, inventaire complet du réseau. Ils cartographient tout.
- Phase 5 - Mission : Vol de documents classifiés, carnets d’adresses pour de futures campagnes, propriété intellectuelle, plans stratégiques. Tout est bon à prendre.
- Phase 6 - Persistance : Plusieurs mécanismes de backup au cas où. Services Windows, tâches planifiées, modification de DLL système. Ceinture et bretelles !
2014, c’est l’année où tout bascule. La Russie annexe la Crimée (vous vous souvenez, cette histoire de “petits hommes verts” ?), et APT28 sort ses griffes pour de vrai. L’Ukraine devient leur terrain de jeu, leur laboratoire d’expérimentation grandeur nature : Infrastructures électriques piratées, réseaux gouvernementaux infiltrés, systèmes de communication perturbés. Bref, le chaos total.
En avril 2015 vers 22h… TV5Monde diffuse tranquillement ses programmes quand BIM ! Écrans noirs partout dans le monde. Les 12 chaînes du groupe sont mortes. Les équipes techniques pensent d’abord à une panne technique, genre “quelqu’un a renversé son café sur le serveur principal” jusqu’à ce qu’apparaissent des messages pro-Daesh sur les réseaux sociaux de la chaîne. “Je suis IS”, “CyberCaliphate”, tout le tralala djihadiste.
L’enquête démarre direct sur la piste terroriste. Logique, sauf que très vite, les enquêteurs français de l’ANSSI (nos cyber-flics nationaux) tombent sur des trucs chelous. Les adresses IP remontent vers Saint-Pétersbourg, pas vers Raqqa. Le code source contient des commentaires en cyrillique du genre “// тест функции” (test de fonction), pas vraiment le style Daesh. Et surtout, les timestamps montrent comme je vous le disais, une activité entre 9h et 18h heure de Moscou. Ces terroristes respectaient les 35 heures, apparemment.
Bref, c’était du false flag de compétition. Faire croire à une attaque terroriste pour masquer une opération d’espionnage étatique, fallait oser. L’enquête de L’Express finira par dévoiler que le vrai but était de voler des documents sensibles et d’étudier comment fonctionnaient les médias français de l’intérieur. Le bordel à l’antenne ? Juste un écran de fumée, une diversion digne d’un tour de magie de David Copperfield.
Puis en décembre 2015, c’est la première cyberattaque réussie sur un réseau électrique dans l’histoire de l’humanité. Pas un bug Windows, pas une panne EDF classique. Non, là c’est encore plus lourd puisque les régions de Kiev, Ivano-Frankivsk et Chernivtsi plongent dans le noir complet. 230 000 Ukrainiens sans électricité en plein hiver et on le doit au malware BlackEnergy capable de faire des ravages ! Soudain, la cyber-guerre n’est plus un truc de geeks dans des films. Non, ce sont de vraies gens qui se les pèlent dans le noir.
Ensuite, c’est 2016. L’année où APT28 devient une star mondiale en s’attaquant au Comité national démocrate américain. Cette fois, fini de jouer. C’est une opération d’influence directe sur l’élection la plus suivie de la planète. Du jamais vu dans l’histoire de la démocratie. Les hackers infiltrent les serveurs du DNC comme dans du beurre, récupèrent 50 000 emails embarrassants sur Hillary Clinton (les fameux “emails de Hillary”, ça vous dit quelque chose ?), et organisent leur diffusion via WikiLeaks. Le timing est millimétré au poil de cul près avec cette fuite massive quelques jours avant la convention démocrate. Impact maximum, chaos garanti !!
Ce qui me scotche, c’est qu’ils sont restés planqués dans les systèmes pendant des mois. CrowdStrike, la boîte de sécurité appelée à l’époque en mode pompiers, découvre qu’APT28 se baladait dans les serveurs du DNC depuis avril 2016. Deux mois complets à lire les emails, écouter les communications, comprendre les stratégies. C’est comme si quelqu’un lisait vos SMS pendant plusieurs mois avant de les balancer sur Twitter.
Et l’impact est colossal ! Trump est élu, les relations US-Russie au plus bas depuis la guerre froide, et surtout on a maintenant la preuve qu’on peut hacker une démocratie avec quelques lignes de code bien placées. GG WP, comme on dit dans le milieu. (good game, well played)
Je vous propose qu’on avance un peu dans le temps… Juillet 2018. Robert Mueller, le procureur spécial avec une tête de proviseur sévère, balance la bombe atomique : 12 officiers du GRU sont formellement inculpés. Pas des “hackers russes” anonymes, pas des “individus non identifiés”. Non non, leurs vrais noms, prénoms, deuxième prénom (les Russes adorent ça), grades, numéros d’unité militaire, probablement leur groupe sanguin aussi ^^.
Unité 26165 (les pros du piratage et du vol de docs) :
• Viktor Borisovich Netyksho - Le big boss, commandant de l’unité
• Boris Alekseyevich Antonov - Le manager des opérations US
• Dmitriy Sergeyevich Badin - L’expert infrastructure
• Ivan Sergeyevich Yermakov - Le roi du spear-phishing
• Aleksey Viktorovich Lukashev - Celui qui a envoyé LE mail qui a tout déclenché
• Artem Andreyevich Malyshev - Le développeur de malwares customUnité 74455 (les spécialistes de la diffusion et du chaos) :
• Aleksandr Vladimirovich Osadchuk - Colonel et commandant, basé au 22 rue Kirova à Khimki (oui, on a même l’adresse)
• Sergey Aleksandrovich Morgachev - L’architecte des infrastructures
• Nikolay Yuryevich Kozachek (alias “kazak”) - Le papa de X-Agent
• Pavel Vyacheslavovich Yershov - Le gestionnaire des comptes de réseaux sociaux fake
• Aleksey Aleksandrovich Potemkin - L’expert en blanchiment de bitcoins • Anatoliy Sergeyevich Kovalev - Le coordinateur des opérationsCes types avaient des bureaux au 22 rue Kirova (un bâtiment surnommé “la Tour” dans le jargon GRU), des badges d’accès, des tickets resto, des RTT. Des fonctionnaires du hack, payés par l’État russe pour foutre le bordel dans nos démocraties.
L’acte d’accusation révèle même leurs petites habitudes : utilisation de bitcoins pour acheter des serveurs (malin mais pas assez), création de faux sites d’actualités pour distribuer leurs malwares (classique mais efficace), et surtout une coordination de malade entre les équipes. L’unité 26165 pirate et vole, l’unité 74455 diffuse et amplifie. Une vraie chaîne de production industrielle du chaos numérique.
Octobre 2018, Mueller en remet encore une couche. Cette fois, 7 autres noms : Aleksei Morenets, Evgenii Serebriakov, et toute la clique. À ce rythme, on allait avoir l’annuaire complet du GRU.
Aujourd’hui, APT28, c’est plus tout à fait les mêmes. Fini les infrastructures louches avec des noms de domaine en .ru qui crient “JE SUIS UN HACKER RUSSE”. Maintenant, ils sont devenus un peu plus malins les bougres. Ils utilisent des services légitimes : InfinityFree pour l’hébergement (gratuit et anonyme), Mocky.io pour créer des fausses API, des VPN commerciaux lambda que votre voisin utilise pour matter Netflix US et ainsi, leurs communications se fondent dans le trafic normal, invisible parmi les millions de requêtes légitimes.
Les nouveaux malwares sont aussi plus subtils. HeadLace et OceanMap (des noms toujours aussi chelous), découverts en 2023, sont conçus pour du “hit and run”. Ils entrent, ils piquent les données, ils se barrent. Pas de backdoor permanente qui traîne pendant des mois et qui pourrait les griller. C’est du vol à la tire version cyber.
Leur nouvelle technique préférée ?
Voler des identifiants valides plutôt que d’exploiter des failles. Bah oui, pourquoi se faire chier à casser la porte quand on peut voler les clés ? Ils ciblent surtout les admins sys fatigués qui utilisent “Password123!” et hop, accès total au réseau. Simple, basique.
Par exemple, les vulnérabilités CVE-2023-38831 dans WinRAR (qui affecte WinRAR 6.23 et versions antérieures) et la CVE-2023-23397 dans Outlook (une vuln critique qui permet l’exécution de code à distance) ont été exploitées par eux dans les 24h après leur découverte. Ces mecs ont des équipes qui font de la veille 24/7 sur les nouvelles vulns et dès qu’un truc sort, ils ont déjà un exploit fonctionnel.
Le 29 avril 2025 est une date historique pour la France. Pour la première fois, on arrête de faire les autruches et on accuse officiellement la Russie. L’ANSSI balance un pavé de 40 pages qui détaille comment APT28 s’est amusé avec 12 entités françaises depuis 2021. Dans le lot, des ministères (on vous dira pas lesquels, secret défense), l’industrie aérospatiale (coucou Airbus), le secteur bancaire, des mairies, et même des orgas sportives. Pourquoi du sport ? Les JO de Paris 2024, pardi !
Et ce rapport de l’ANSSI, c’est du lourd. Ils décrivent comment APT28 s’infiltre via les passerelles email (ces trucs que votre DSI a installés pour “sécuriser” vos mails), comment ils évitent maintenant les backdoors permanentes pour rester discrets, leur utilisation de Mimikatz (l’outil préféré de tous les hackers pour chopper des mots de passe) et ReGeorg pour faire du proxy. Du travail de pro, documenté minute par minute.
Selon nos diplomates, APT28 ne fait d’ailleurs pas que du vol de données pour le Kremlin. Non, leur but, c’est aussi de foutre le bordel, semer le doute, faire en sorte qu’on ne fasse plus confiance à rien ni personne. La déstabilisation comme arme de guerre hybride.
D’ailleurs, les “MacronLeaks” de 2017, c’était eux ! 9 gigas de documents internes de l’équipe Macron balancés 2 jours avant le second tour. Heureusement que les Français s’en foutaient et que les médias ont joué le jeu du silence électoral mais l’intention était encore une fois très claire : foutre en l’air notre élection présidentielle. Raté pour cette fois, mais ça donne une idée du niveau de menace.
Du coup, comment on fait pour identifier des hackers qui utilisent 15 couches de proxies, des VPN, et qui bossent depuis la Russie ? Et bien pour y parvenir, les mecs de FireEye et CrowdStrike, génies de la forensique ont une méthode simple mais efficace : Analyser TOUT.
CrowdStrike a poussé le délire encore plus loin que les métadonnées, les timestamps de création ou les jours d’inactivité de notre équipe de cybercriminels puisqu’il ont aussi tracé les infrastructures de commande et contrôle sur 15 ans, analysé les patterns de communication, étudié l’évolution des techniques. Un travail de fourmi qui leur a permis d’établir une “empreinte comportementale” d’APT28. C’est un peu comme reconnaître quelqu’un à sa démarche, mais en version cyber.
Maintenant, le truc qui les a grillés ce sont les erreurs suivantes :
- Erreur n°1 - Un recyclage excessif : X-Agent utilisé partout pendant des années. Chaque incident laissait des traces, des IOCs (Indicators of Compromise). Les enquêteurs ont fini par faire le lien.
- Erreur n°2 - Une routine qui tue : Activité systématique 9h-18h Moscou. Weekends OFF. Jours fériés russes respectés (1er mai, 9 mai, 7 novembre…). Un pattern tellement évident qu’il en devient une signature.
- Erreur n°3 - Du cyrillique partout : Commentaires de code en russe, environnements de dev configurés en russe, même les métadonnées des documents. “товарищ, это не очень скрытно” (camarade, c’est pas très discret).
- Erreur n°4 - Une infrastructure prévisible : Toujours les mêmes providers (OVH, DigitalOcean), les mêmes registrars, les mêmes patterns de noms de domaine. La flemme de changer les habitudes.
- Erreur n°5 - Et un OPSEC de merde : Des fois, connexion directe depuis leurs vraies IP. Utilisation d’emails perso pour acheter des domaines. Un officier a même utilisé sa carte bleue personnelle pour payer un serveur (véridique…).
Bref, leur plus grosse erreur ça a surtout été de se croire intouchables derrière leurs proxies. Ils ont sous-estimé l’obstination des enquêteurs occidentaux qui ont passé des années à analyser chaque bit, chaque timestamp, chaque erreur.
Depuis février 2022 et l’invasion de l’Ukraine, APT28 a trouvé un nouveau hobby : saboter l’aide occidentale. Exit les élections et les médias, maintenant leur job c’est d’identifier les routes d’approvisionnement en armes, connaître les volumes, anticiper les livraisons…etc. Bref, faire du renseignement militaire pur et dur.
Et en mai dernier, il y a eu un gros coup de pression puisque 21 agences de renseignement de 11 pays ont balancé un communiqué commun pour prévenir qu’APT28 ciblait massivement les entreprises de logistique et tech qui gèrent l’aide à l’Ukraine. Transport aérien, maritime, ferroviaire… Ils veulent tout savoir sur ce qui part vers Kiev. Leurs nouvelles cibles sont des PME bulgares qui recyclent du matos soviétique, des transporteurs routiers polonais, des plateformes logistiques de l’OTAN… Ils ont compris, semble-t-il, que c’était plus facile de pirater DHL que le Pentagone.
Bref, Fancy Bear c’est 20 ans de cyber-guerre condensés. De 2004 à 2025, on est passés du phishing artisanal aux campagnes d’influence sophistiquées. Le hacking est devenu une arme géopolitique et l’histoire d’APT28 est loin d’être terminée car chaque mois apporte son lot de révélations, de nouvelles techniques, de nouvelles victimes.
Donc, la prochaine fois que vous entendrez parler de “hackers russes”, souvenez-vous que derrière ce terme générique se cachent des visages, des noms, probablement des bureaux au 22 rue Kirova à Moscou et soutenus par un bon gros budget d’État.
– Source :
https://korben.info/apt28-fancy-bear-hackers-russes-gru.html
V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
Passionnant cet article !
-
Carrément passionnant !!! Comme tous tous ceux qui ont précédé et , j’espère ; ceux qui suivront ; merci du partage…Trop cool…
