Selon FireEye, l’attaque qui avait complètement bloqué la chaine TV5 en avril dernier a été un peu vite attribuée à la mouvance djihadiste. Le groupuscule ATP28 Russia (aussi connu sous le nom de Pawn Storm, Tsar Team, Fancy Bear ou encore Sednit) a peut-être utilisé le nom d'ISIS comme une stratégie de diversion, afin de masquer ses traces. Les experts de la société de sécurité ont en effet remarqué un certain nombre de similitudes entre les attaques TTP utilisées par le groupe russe et celles qui a bloqué TV5 Monde. « Il y a un certain nombre de points communs », a déclaré Jen Weedon, directeur technique chez FireEye. « Le site Cyber Caliphate où ont été publiées les données sur le piratage de TV5 Monde était hébergé sur un bloc d'IP qui est le même bloc d'IP que des infrastructures connues d’APT28, et utilise le même serveur et bureau d'enregistrement que celui utilisé par APT28 dans le passé ».
Jen Weedon a confirmé qu’au moment de l'attaque contre TV5Monde, d'autres journalistes ont été ciblés par le groupe de APT28 et les attaques ont été coordonnées par la même infrastructure de piratage utilisée par l'équipe russe. Les experts de FireEye ont publié un rapport détaillé sur ATP28 en octobre 2014, indiquant que le groupe est composé par de cyber-pirates parrainés par un État afin de lancer des campagnes d’espionnage sur de très longues périodes contre les intérêts des États-Unis, des organisations de sécurité européennes et des entités gouvernementales d’Europe de l'Est. Les pirates ont également visé les participants d'expositions européennes de défense, y compris l'Euronaval 2014, l’Eurosatory 2014, le Counter Terror Expo et le Salon aéronautique de Farnborough 2014.
Un écho de la guerre en Ukraine
La majorité des dossiers analysés par FireEye remontent des paramètres en langue russe, les experts ont confirmé « qu'une partie importante des outils malveillants d’APT28 logiciels ont été compilés dans un environnement en langue russe constamment au cours des six dernières années. »
Comme il arrive souvent dans ces cas, pour affiner le profil de l'attaquant, les chercheurs ont analysé les heures ou ont été réalisés les compilations et découvert qu'ils correspondent aux heures de travail à Moscou et Saint-Pétersbourg, un autre élément qui suggère l'implication d'une équipe basée en Russie. Près de 96% de ces logiciels malveillants ont été compilé du lundi et vendredi entre 8 et 18 heures sur le fuseau horaire de Moscou.