The Dukes, ou Cozy Bear, est une organisation de cyber-espionnage massivement financée, très ciblée et efficacement coordonnée. D’après notre analyse, ce groupe travaille dans l’intérêt de la Fédération de Russie depuis au moins 2008. L’objectif principal est de collecter des renseignements qui permettront d’influencer les décisions en matière de politique étrangère et de sécurité. Leurs cibles privilégiées incluent les gouvernements occidentaux et les organisations liées aux infrastructures critiques, ainsi que les ministères gouvernementaux, les groupes de réflexion politiques et leurs sous-traitants.
Faits marquants
- Tout d'abord, un message d'intérêt public : The Dukes ont de nombreux pseudonymes, à partir de maintenant nous les utiliserons de manière interchangeable dans cet article et le rapport associé. Il convient de noter qu'ils sont tous équivalents.
- The Dukes, alias APT29, Cozy Bear ou Nobelium, est un important groupe de cyber-espionnage probablement associé au Service de renseignements extérieurs (SVR) russe.
- The Dukes est célèbre pour ses activités de cyber-espionnage visant des gouvernements, des organisations non gouvernementales, des entreprises, des groupes de réflexion et d'autres cibles de premier plan par le biais de campagnes de spear-phishing.
- The Dukes utilise couramment des techniques de camouflage HTML et des images ISO malveillantes pour diffuser ses malwares tout en contournant les mesures de sécurité.
- APT29 a l'habitude de cibler des entités politiques. Il a acquis une notoriété grâce au piratage du Comité national démocrate (Democratic National Committee) lors de l'élection présidentielle américaine de 2016.
- APT29 a particulièrement attiré l’attention lors de son implication dans l'attaque de la supply chain ayant visé SolarWinds en 2020, qui a compromis de nombreux départements du gouvernement américain, démontrant ainsi ses capacités et sa sophistication.
The Dukes : de qui s’agit-il ?
The Dukes est connu pour utiliser un large éventail d'outils malveillants, notamment MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke et GeminiDuke. Ces dernières années, ils ont mené des campagnes de spear-phishing à grande échelle, ciblant des centaines, voire des milliers, de cibles liées à des institutions gouvernementales et à leurs organisations affiliées. Si The Dukes découvre qu'une cible compromise a une valeur significative, il bascule rapidement vers des tactiques plus sournoises, mettant alors l'accent sur les compromissions persistantes et la collecte de renseignements à long terme.
Il est largement admis que Cozy Bear est responsable de la violation en 2015 des réseaux non classifiés au sein d'institutions telles que la Maison Blanche, le Département d'État, le Pentagone et les chefs d'état-major interarmées. À cet égard, il a acquis une notoriété pour avoir piraté le Comité national démocrate lors de l’élection présidentielle américaine de 2016. La compromission de la supply chain de SolarWinds est également attribuée à ce groupe.
The Dukes : comment se protéger ?
La plateforme Logpoint Converged SIEM est une plateforme de pointe pour automatiser la détection, l'analyse et la réponse aux violations impliquant des menaces telles que celles utilisées par The Dukes. Avec une plateforme d’opérations de sécurité de bout en bout, les entreprises disposent de tous les outils nécessaires pour lutter contre les activités des adversaires (comme celles menées par Cozy Bear, alias APT29) et perturber la chaîne de leur cyberattaque. La fonction SIEM de Logpoint collecte et analyse les données de log provenant de plusieurs sources différentes, permettant ainsi une surveillance et une détection en temps réel des activités suspectes et des comportements inhabituels associés aux menaces. L'intégration du SOAR améliore la sécurité en automatisant les étapes de réponse telles que l'isolement des systèmes endpoint concernés et le blocage des adresses IP malveillantes. Ce type d’action accélère le temps de réponse aux incidents et diminue l’impact des menaces. L'agent endpoint natif de Logpoint, AgentX, fournit des fonctionnalités EDR (Endpoint Detection and Response) en collaboration avec le SIEM et le SOAR. AgentX permet d'accélérer la chasse aux menaces et les investigations post-mortem à l'aide d'Osquery en offrant une visibilité étendue sur les processus endpoint. AgentX détecte et contient rapidement les systèmes infectés en surveillant en permanence les systèmes endpoint à la recherche de signes d’activités de compromission dangereuses menées par APT29.
Pour obtenir plus d'informations sur APT29, sa genèse, son historique, son fonctionnement, ses techniques évoluées de distribution de malwares, les possibilités offertes en matière de mitigation et de détection via la plateforme Converged SIEM de Logpoint, veuillez consulter le rapport ci-joint.