En bref :
- Le groupe de cyberespionnage Forest Blizzard est attribué au GRU (l’agence de renseignement militaire russe).
- Forest Blizzard est également connu sous ses nombreux pseudonymes : APT 28, Fancy Bear, Pawn Storm, Sednit Gang, Sofacy Group, BlueDelta et STRONTIUM.
- Forest Blizzard est connu pour faire évoluer constamment ses tactiques, développer des outils personnalisés (comme GooseEgg) et utiliser une approche à plusieurs niveaux pour maintenir l’accès aux systèmes compromis.
- Forest Blizzard investit massivement dans la création d’attaques par ingénierie sociale hautement crédibles, exploitant souvent les informations récupérées sur les réseaux sociaux pour ensuite les personnaliser. Cette approche les rend particulièrement capables de contourner les mesures de sécurité traditionnelles.
- Institutions polonaises (mai 2024) : des rapports récents suggèrent des attaques en cours visant les institutions gouvernementales polonaises.
- Les motivations de Forest Blizzard sont un intérêt pour les données géopolitiques confidentielles qui pourraient profiter à l’État russe.
Par Nischal Khadgi and Ujwal Thapa; Security Researcher
Présentation de Forest Blizzard
Forest Blizzard(G0007) est un groupe malveillant associé au service de renseignement russe (GRU) et actif depuis 2008. Les origines du groupe remontent au milieu des années 2000, et les opérations auraient commencé vers 2008. Le groupe est attribué à l’agence de renseignement militaire russe, car la plupart des victimes de Forest Blizzard sont ciblées d'une manière qui profite indirectement au gouvernement russe.
Qui sont les victimes ciblées ?
Forest Blizzard a principalement ciblé des entités au sein de l'Organisation du Traité de l'Atlantique Nord (OTAN), des organisations et institutions partenaires de l'OTAN, des organisations des secteurs de l'aérospatiale et de la défense, des agences gouvernementales, des établissements du secteur hôtelier, des organismes sportifs internationaux et des médias. De plus, Forest Blizzard a été observé en train de mener des cyber-opérations pendant la guerre entre la Russie et l'Ukraine, s'alignant ainsi davantage sur les objectifs stratégiques de la Russie. Les régions ciblées par Forest Blizzard ont principalement été repérées en Europe, dans le Caucase du Sud, en Asie centrale et en Amérique du Nord et du Sud.
Sur la base de nos recherches, nous avons créé un rapport qui fournit un aperçu complet de Forest Blizzard. Dans ce rapport, vous pouvez en savoir plus sur le groupe, son histoire, ses cyber-opérations, les malwares utilisés de manière détaillée, les attaques et détections associées, l'investigation et la réponse à l'aide de Logpoint.
**Toutes les nouvelles règles de détection sont disponibles dans la dernière version de Logpoint et via le centre d'aide Logpoint.
Contactez Logpoint Customer Success pour obtenir des playbooks d'investigation et de réponse personnalisés adaptés à votre environnement.