Dénomination de groupe: une mère ne retrouvera pas ses petits !

Dénomination de groupe: une mère ne retrouvera pas ses petits !

𝗣𝗼𝘂𝗿𝗾𝘂𝗼𝗶 𝗶𝗹 𝘆 𝗮 𝘁𝗮𝗻𝘁 𝗱𝗲 𝗻𝗼𝗺𝘀 𝗱𝗶𝗳𝗳𝗲𝗿𝗲𝗻𝘁𝘀 ?
On voit souvent un groupe avec plein d’alias(lié) ou aka(équivalent) ; tout simplement parceque chaque société de Threat Intell donne son petit nom. (surement des créatifs !)

Tout est marketing et le marketing combiné à la difficulté d’attribution rend la dénomination des groupes difficile et multiple.

𝐏𝐨𝐮𝐫𝐪𝐮𝐨𝐢 𝐨𝐧 𝐧’𝐚 𝐩𝐚𝐬 𝐮𝐧𝐞 𝐜𝐨𝐧𝐯𝐞𝐧𝐭𝐢𝐨𝐧 𝐝𝐞 𝐝𝐞𝐧𝐨𝐦𝐢𝐧𝐚𝐭𝐢𝐨𝐧 𝐮𝐧𝐢𝐯𝐞𝐫𝐬𝐞𝐥𝐥𝐞?
Les chercheurs qui découvrent un nouveau groupe ont à la fois le droit et la responsabilité de lui donner un nom. De ce fait, on se retrouve avec une multitude de noms, et cela se complique car chaque société de recherche a une visibilité différente du cluster.
On obtient ainsi : APT28 = Fancy Bear= Sofacy=Strontium.

❓A noter aussi que comprendre comment et pourquoi les chercheurs nomment les différents groupes de menaces peut nous aider à mieux comprendre le paysage global des menaces.

Ce que l’on peut se dire c’est que :

Crowdstrike utilisent un préfixe accrocheur suivi d’un animal à connotation géographique, ça donne :
• ➡️Bear : associe le groupe à la Russie.
• ➡️Panda : pour la chine
• ➡️Chollima pour la corée du nord
• ➡️Kitten pour l’iran
• ➡️Buffalo pour le Vietnam
Et
• ➡️Spider : pour les gangs criminels
• ➡️ jackal : ce sont les groupes hacktivistes

Mandiant
• ➡️UNC : “non classifié”
• ➡️TEMP : cluster qui évolue clairement vers un groupe spécifique
• ➡️FIN (ou APT) : groupe de menaces qui a une motivation financière (ou d’espionnage d’État).

🔢Au final Microsoft annonce avoir
40 groupes d’activités d’États-nations et plus de 140 groupes d’activités au total

ᵤₙₑ ₚₑₜᵢₜₑ ₕᵢₛₜₒᵢᵣₑ , aₙₑcdₒₜₑ :

Microsoft a envisagé fut un temps de nommer ses groupes par des noms de dinosaures, ils ont abandonné cette idée en raison de la longueur de l’écriture et de la difficulté de prononciation… Bonne idée ou pas ?

___________

⚠️Mais attention tout change !!!

« la division cybersécurité de Microsoft a annoncé qu’elle changeait toute la taxonomie des noms qu’elle utilise pour les centaines de groupes de pirates qu’elle suit. Il donnera désormais aux groupes de hackers des noms en deux mots, y compris dans leur description un terme basé sur la météo indiquant quel pays pour lequel les pirates sont censés travailler, ainsi que s’ils sont parrainés par l’État ou criminels. »

https://www.wired.com/story/hacker-naming-schemes-spandex-tempest/

https://learn.microsoft.com/en-us/microsoft-365/security/intelligence/microsoft-threat-actor-naming?view=o365-worldwide