D’où viennent les noms de groupe cybercriminels ?

D’où viennent les noms de groupe cybercriminels ?

𝗣𝗼𝘂𝗿𝗾𝘂𝗼𝗶 𝗶𝗹 𝘆 𝗮 𝘁𝗮𝗻𝘁 𝗱𝗲 𝗻𝗼𝗺𝘀 𝗱𝗶𝗳𝗳𝗲𝗿𝗲𝗻𝘁𝘀 ?

On voit souvent un groupe avec plein d’alias(lié) ou aka(équivalent) ; tout simplement parceque chaque société de Threat Intell donne son petit nom (surement des créatifs !) ainsi Microsoft, Mandiant (APTXXX, UNC, TEMP et FIN) et CrowdStrike font leur brainstorm. Tout est marketing  et le marketing combiné à la difficulté d’attribution rend la dénomination des groupes difficile et multiple.

𝐏𝐨𝐮𝐫𝐪𝐮𝐨𝐢 𝐨𝐧 𝐧’𝐚 𝐩𝐚𝐬 𝐮𝐧𝐞 𝐜𝐨𝐧𝐯𝐞𝐧𝐭𝐢𝐨𝐧 𝐝𝐞 𝐝𝐞𝐧𝐨𝐦𝐢𝐧𝐚𝐭𝐢𝐨𝐧 𝐮𝐧𝐢𝐯𝐞𝐫𝐬𝐞𝐥𝐥𝐞?

 Les chercheurs qui découvrent un nouveau groupe ont à la fois le droit et la responsabilité de lui donner un nom. Du coup on se retrouve avec une multitude de noms. De plus chaque société de recherche a une visibilité différente du cluster.

Du coup on obtient : APT28 = Fancy Bear= Sofacy=Strontium.

❓A noter aussi que comprendre comment et pourquoi les chercheurs nomment les différents groupes de menaces peut nous aider à mieux comprendre le paysage global des menaces.

Ce que l’on peut se dire c’est que :

🦓🅲🆁🅾️🆆🅳🆂🆃🆁🅸🅺🅴 ils utilisent un préfixe accrocheur suivi d’un animal à connotation géographique, ça donne :

•➡️Bear : associe le groupe à la Russie.

•➡️Panda : pour la chine

•➡️Chollima pour la corée du nord

•➡️Kitten pour l’iran

•➡️Buffalo pour le Vietnam

Et

•➡️Spider : pour les gangs criminels

•➡️ jackal : ce sont les groupes hacktivistes

🅼🅰️🅽🅳🅸🅰️🅽🆃

• ➡️UNC : “non classifié”

• ➡️TEMP : cluster qui évolue clairement vers un groupe spécifique

• ➡️FIN (ou APT) : groupe de menaces qui a une motivation financière (ou d’espionnage d’État).

🔢Au final Microsoft annonce avoir

Microsoft utilise les noms des éléments, par exemple PHOSPHORUS, NOBELIUM, STRONTIUM

Proofpoint utilise des groupes TA numérotés, par exemple TA505, TA542

Symantec utilise des espèces d’insectes, par exemple Cicada, Shuckworm, Dragonfly

Secureworks utilise des éléments plus des surnoms, par exemple Gold Drake, Iron Liberty, Bronze Union.

Recorded Future utilise une couleur plus un alphabet phonétique, par exemple RedDelta, RedEcho, RedFoxtrot

IBM utilise un ITG ou Hive numéroté, par exemple ITG14, Hive0065

40 groupes d’activités d’États-nations et plus de 140 groupes d’activités au total

Aₗₗₑz ᵥₒᵤₛ ᵥₒᵤₗₑz ᵤₙₑ ₚₑₜᵢₜₑ ₕᵢₛₜₒᵢᵣₑ , aₙₑcdₒₜₑ ; ₗa ᵥₒᵢcᵢ :

Microsoft a envisagé fut un temps de nommer ses groupes par des noms de dinosaures ils ont abandonné cette idée en raison de la longueur de l’écriture et de la difficulté de prononciation… Bonne idée ou pas ?

Nathalie GRANIER-2022