Update Disarm_matrice.md

2025-10-30 13:36:04 +02:00 · 2024-02-19 21:21:09 +01:00 · 2024-02-19 21:21:09 +01:00 · e6deac7c54
--- a/content/articles/Disarm/Disarm_matrice.md
+++ b/content/articles/Disarm/Disarm_matrice.md
@ -8,7 +8,7 @@ publié un article décrivant plusieurs campagnes d'influences semble-t-il
 d'origine chinoise, visant les États-Unis. Les éléments relevés
 décrivaient trois narratifs différents portés par le même acteur.
-Cet acteur, Dragonbridge, a été observé dès 2019 par Mandiant qui a
+Cet acteur, *Dragonbridge*, a été observé dès 2019 par Mandiant qui a
 constaté de nombreuses campagnes d'influence portées par ce réseau de
 milliers de comptes présents sur de nombreux réseaux sociaux et canaux
 de communication. Si, au départ, ce groupe a surtout mené des campagnes
@ -18,41 +18,41 @@ comptes de réseaux sociaux pour lancer des campagnes de dénigrement
 envers des entreprises d'exploitation de terres rares, canadiennes,
 australiennes et américaines.
-Dragonbridge a porté, cette fois-ci, trois narratifs spécifiques :
+*Dragonbridge* a porté, cette fois-ci, trois narratifs spécifiques :
-tout d'abord, il a réattribué aux États-Unis, une campagne APT,
+* tout d'abord, il a réattribué aux États-Unis, une campagne APT,
 normalement attribuée à un acteur proche de l'État chinois. En effet, en
 2020, pendant la pandémie, un groupe nommé APT 41 (Advanced Persistant
 Threat) avait mis en place une très large campagne de cyber-espionnage ;
-il a également poussé des narratifs visant à discréditer le système
+* il a également poussé des narratifs visant à discréditer le système
 électoral américain en vue des midterms ;
-enfin, il allègue que l'explosion du pipeline NordStream 2 serait dû aux
+* enfin, il allègue que l'explosion du pipeline *NordStream 2* serait dû aux
 États-Unis.
 La publication de Mandiant revient ensuite sur toutes les tactiques,
-techniques et procédures (TTPs) utilisées par Dragonbridge pour pousser
+techniques et procédures (TTPs) utilisées par *Dragonbridge* pour pousser
 ces narratifs, en souligne à quel point ceux-ci sont innovants (cf. le
-titre de l'article : « Pro-PRC DRAGONBRIDGE Influence Campaign Leverages
+titre de l'article : « *Pro-PRC DRAGONBRIDGE Influence Campaign Leverages
 New TTPs to Aggressively Target U.S. Interests, Including Midterm
-Elections »).
+Elections* »).
 Cependant, lorsque l'on étudie ces tactiques, techniques et procédures à
 l'aune de la matrice Disarm on se rend compte que, même s'ils peuvent
-être nouveaux dans le cadre de leur exploitation par Dragonbridge, tous
+être nouveaux dans le cadre de leur exploitation par *Dragonbridge*, tous
-les éléments sont déjà présents dans Disarm.
+les éléments sont déjà présents dans DISARM.
-Disarm est une matrice open-source basée sur le comportement des acteurs
+DISARM est une matrice open-source basée sur le comportement des acteurs
 malveillants qui permet de visualiser et de traduire une campagne
 d'influence sous la forme de TTPs. Cette traduction permet, à l'instar
-de la matrice MITRE ATT&CK utilisée dans le cadre de la Cyber Threat
+de la matrice MITRE ATT&CK utilisée dans le cadre de la *Cyber Threat
-Intelligence (CTI, collecte et capitalisation de renseignements sur les
+Intelligence* (CTI, collecte et capitalisation de renseignements sur les
 campagnes d'attaques cyber) d'enregistrer ces éléments et d'alimenter
 des outils d'archivage et d'exploitation de type MISP ou bien encore
 OpenCTI.
-La matrice Disarm présente de nombreux intérêts dans la description de
+La matrice DISARM présente de nombreux intérêts dans la description de
 campagnes d'influence ou d'opérations informationnelles. La description
 des TTPs permet de mesurer, dans un premier temps, le niveau d'effort
 que l'acteur consent dans une campagne en cours ou qu'il cherche à
@ -83,13 +83,13 @@ reviennent.
 Ci-dessous les différentes TTPs relevées par Mandiant dans son article
 et traduites dans la matrice Disarm.
-TTPs : TA13 T0072.005
+**TTPs : TA13 T0072.005**
-Nom : Target audience analysis Political segmentation
+Nom : *Target audience analysis Political segmentation*
-Extrait de l'article : « Aggressively targeting the United States by
+Extrait de l'article : « *Aggressively targeting the United States by
 seeking to sow division both between the U.S. and its allies and within
-the U.S. political system itself »
+the U.S. political system itself* »
 Cibler les États-Unis de manière agressive en cherchant à semer la
 division tant entre les États-Unis et leurs alliés qu'au sein même du
@ -99,29 +99,29 @@ s'appuie sur des narratifs comme « Le vote ne soignera pas la maladie
 dont souffre les États-Unis ; le système législatif américain est
 inefficace. »
-TTPs : TA14 T0068
+**TTPs : TA14 T0068**
-Nom : Respond to breaking news event or active crisis
+Nom : *Respond to breaking news event or active crisis*
-Extrait : « Allegations that the U.S. was responsible for the Nord
+Extrait : « *Allegations that the U.S. was responsible for the Nord
-Stream gas pipeline explosions.
+Stream gas pipeline explosions*.
-DRAGONBRIDGE's messaging mirrored Russian President Vladimir Putin's
+* *DRAGONBRIDGE's messaging mirrored Russian President Vladimir Putin's
-statements that the U.S. had sabotaged the pipelines ».
+statements that the U.S. had sabotaged the pipelines* ».
 Proclamer que les États-Unis sont responsables des explosions du gazoduc
-Nord Stream.
+*Nord Stream*.
-Le message de DRAGONBRIDGE reflète les déclarations du président russe
+Le message de Dragonbridge reflète les déclarations du président russe
 Vladimir Poutine selon lesquelles les États-Unis auraient saboté les
 pipelines.
-TTPs : TA14 T0083
+**TTPs : TA14 T0083**
-Nom : Integrate target audiance vulnerabilities into narrative
+Nom : *Integrate target audiance vulnerabilities into narrative*
-Extrait : « Discredit the U.S. democratic process, including attempts to
+Extrait : « *Discredit the U.S. democratic process, including attempts to
-discourage Americans from voting in the 2022 U.S. midterm elections. »
+discourage Americans from voting in the 2022 U.S. midterm elections.* »
 Discréditer le processus démocratique américain, notamment en tentant de
 décourager les Américains de voter lors des élections de mi-mandat de
@ -129,37 +129,37 @@ décourager les Américains de voter lors des élections de mi-mandat de
 serait en train de se détériorer, deviendrait inefficace, que la société
 serait fondamentalement divisée.
-TTPs : TA06 T0019.002
+**TTPs : TA06 T0019.002**
-Nom : Hijack hashtags
+Nom : *Hijack hashtags*
-Extrait : « Accounts also used the hashtags #AllRoadsLeadToChengdu or
+Extrait : « *Accounts also used the hashtags #AllRoadsLeadToChengdu or
 #Chengdu404, which were used by the legitimate Intrusion Truth regarding
-APT41 ».
+APT41* ».
 Réutiliser un \# employé par Intrusion Truth pour attribuer APT41 à la
 Chine et l'exploiter en disant que ce sont, en fait, les États-Unis qui
 sont derrière ce groupe.
-TTPs : TA06 T0023
+**TTPs : TA06 T0023**
-Nom : Distort facts
+Nom : *Distort facts*
-Extrait : « Claims that the China-nexus threat group APT41 is instead a
+Extrait : « *Claims that the China-nexus threat group APT41 is instead a
-U.S. government-backed actor »
+U.S. government-backed actor* »
 Affirmer que le groupe de menace APT41, lié à la Chine, est un acteur
 soutenu par le gouvernement américain.
-TTPs : TA06 T0087 & TA07 T0105.002 & TA17 T0119
+**TTPs : TA06 T0087 & TA07 T0105.002 & TA17 T0119**
-Nom : Develop Video-based Content & Video Sharing & Cross-posting
+Nom : *Develop Video-based Content & Video Sharing & Cross-posting*
-Extrait : « DRAGONBRIDGE accounts posted an English-language video
+Extrait : « *Dragonbridge accounts posted an English-language video
 across multiple platforms containing content attempting to discourage
-Americans from voting in the upcoming U.S. midterm elections »
+Americans from voting in the upcoming U.S. midterm elections* »
-Des comptes DRAGONBRIDGE ont publié une vidéo en anglais sur plusieurs
+Des comptes Dragonbridge ont publié une vidéo en anglais sur plusieurs
 plateformes. Le contenu de cette vidéo vise à décourager les Américains
 de voter lors des prochaines élections de mi-mandat aux États-Unis.
@ -174,104 +174,93 @@ de se poser la question des différents intervenants dans une campagne.
 En effet, la fabrication de la vidéo a sûrement été externalisée à une
 entreprise tierce.
-TTPs : TA06 T0089.002
+**TTPs : TA06 T0089.002**
-Nom : Create inauthentic documents
+Nom : *Create inauthentic documents*
-Extrait : « While we have previously observed DRAGONBRIDGE themes
+Extrait : « *While we have previously observed DRAGONBRIDGE themes
 involving alleged malicious U.S. cyber activity, fabrications regarding
 APT41 as American in origin appears to be an escalation in the degree of
-implied U.S. operations. »
+implied U.S. operations.* »
 Créer des preuves attribuant de manière fallacieuse l'APT 41 aux
 États-Unis.
-TTPs : TA06 T0089.003
+**TTPs : TA06 T0089.003**
-Nom : Alter authentic documents
+Nom : *Alter authentic documents*
-Extrait : « Plagiarism and Alteration of News Articles »
+Extrait : « *Plagiarism and Alteration of News Articles* »
 Plagiat et altération d'articles d'actualité : plagier des articles et
 des tweets existants, originellement publiés par Intrusion Truth.
-TTPs : TA16 T0090
+**TTPs : TA16 T0090**
-Nom : Create inauthentic accounts
+Nom : *Create inauthentic accounts*
 Extrait : 
 * « *Accounts' use of profile photos appropriated from various online sources, including stock photography.*
-« Accounts' use of profile photos appropriated from various online
+* *Suggesting that they sought to obfuscate their identities.*
 sources, including stock photography.
-Suggesting that they sought to obfuscate their identities.
+* *Clustering of their creation dates.*
-Clustering of their creation dates.
+* *Suggesting possible batch creation.*
-Suggesting possible batch creation.
+* *Similar patterns in usernames consisting of English-language names,
 followed by seemingly random numeric strings.*
-Similar patterns in usernames consisting of English-language names,
+* *Many accounts posting similar or identical content* »
 followed by seemingly random numeric strings.
-Many accounts posting similar or identical content »
+* Utilisation par les comptes de photos de profil provenant de diverses
 Utilisation par les comptes de photos de profil provenant de diverses
 sources en ligne, y compris de photographies de stock suggérant qu'ils
 ont cherché à dissimuler leur identité.
-Regroupement de leurs dates de création suggérant une possible création
+* Regroupement de leurs dates de création suggérant une possible création
 par lots.
-Schémas similaires dans les noms d'utilisateur, composés de noms en
+* Schémas similaires dans les noms d'utilisateur, composés de noms en
 langue anglaise, suivis de chaînes numériques apparemment aléatoires.
-Comptes publiant des contenus similaires ou identiques.
+* Comptes publiant des contenus similaires ou identiques.
-TTPs : TA16 T0099 & TA16 T0100
+**TTPs : TA16 T0099 & TA16 T0100**
-Nom : Prepare assets impersonting legitimate entities & Co-opte trusted
+Nom : *Prepare assets impersonting legitimate entities & Co-opte trusted
-sources
+sources*
-Extrait : « Nuanced Impersonation of Cyber Actors. We identified what we
+Extrait : « *Nuanced Impersonation of Cyber Actors. We identified what we assessed with moderate to high confidence, on a per-account basis, to be eight Twitter accounts impersonating Intrusion Truth comprising part of the DRAGONBRIDGE campaign.* »
 assessed with moderate to high confidence, on a per-account basis, to be
 eight Twitter accounts impersonating Intrusion Truth comprising part of
 the DRAGONBRIDGE campaign. »
-Usurpation d'identité des cyberacteurs. Huit comptes Twitter se feraient
+* Usurpation d'identité des cyberacteurs. Huit comptes Twitter se feraient passer pour Intrusion Truth dans le cadre de la campagne Dragonbridge.
 passer pour Intrusion Truth dans le cadre de la campagne DRAGONBRIDGE.
-Usurpation d'identité d'un groupe qui publie normalement des documents
+* Usurpation d'identité d'un groupe qui publie normalement des documents et des analyses sur la menace cyber.
 et des analyses sur la menace cyber.
-Création de faux profils reprenant des acteurs de ce groupe pour poster
+* Création de faux profils reprenant des acteurs de ce groupe pour poster des tweets plagiés ou altérés.
 des tweets plagiés ou altérés.
-Utilisation des comptes de réseaux sociaux ressemblant à un groupe connu
+* Utilisation des comptes de réseaux sociaux ressemblant à un groupe connu et référencé (Intrusion Truth), utilisation de médias reconnus : un article de blog de Mandiant, un article du site d'infos Sing Tao Daily, etc.
 et référencé (Intrusion Truth), utilisation de médias reconnus : un
 article de blog de Mandiant, un article du site d'infos Sing Tao Daily,
 etc.
-TTPs : TA09 T0116
+**TTPs : TA09 T0116**
-Nom : Comment or reply on content
+Nom : *Comment or reply on content*
-Extrait : « Separate DRAGONBRIDGE accounts have also replied to tweets
+Extrait : « *Separate DRAGONBRIDGE accounts have also replied to tweets
 posted by the original Intrusion Truth, questioning the veracity of the
 group's information while highlighting alleged malicious U.S. cyber
-activities. »
+activities.* »
 Des comptes distincts de DRAGONBRIDGE ont également répondu à des tweets
 postés originellement par Intrusion Truth, mettant en doute la véracité
 des informations du groupe tout en soulignant que les États-Unis
 seraient responsables d'activités cybernétiques malveillantes.
-TTPs : TA11 T0059
+**TTPs : TA11 T0059**
-Nom : Play the long game
+Nom : *Play the long game*
-Extrait : « Several of these impersonator accounts promoted content and
+Extrait : « *Several of these impersonator accounts promoted content and
 hashtags similar, or identical to, other DRAGONBRIDGE messaging on
-alleged malicious cyber activity »
+alleged malicious cyber activity* »
 Réutilisation des faux profils de réseaux sociaux pour promouvoir
 d'autres campagnes de Dragonbridge.