Fancy Bear, APT28 : quatre années de cyberespionnage russe ciblant les entités stratégiques françaises
-
L’Anssi a publié un rapport sur l’activité du groupe de cyberespionnage lié au renseignement russe Fancy Bear, ou APT28. Ce dernier a ciblé ou compromis une dizaine d’entités françaises sensibles, dont des ministères, des organisations de défense et une entité liée à l’organisation des Jeux olympiques. Le ministère de l’Europe et des Affaires étrangères dénonce des “activités déstabilisatrices inacceptables”.
Le groupe de cybercriminels Fancy Bear, également connu comme APT28, continue de faire des victimes en France. Agissant pour le compte du service de renseignement militaire de la Russie (GRU), ces pirates ont ciblé une dizaine d’entités françaises sensibles depuis 2021 à des fins de cyberespionnage, révèle l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Des campagnes de phishing et des attaques par force brute
Dans son rapport publié le 29 avril, l’Anssi explique que le groupe de menaces a ciblé aussi bien des ministères, collectivités et autres administrations que des entités des secteurs de la défense, de l’aérospatial et de la finance. Certaines organisations de recherche et des think tanks ont également été visés. C’est aussi le cas d’une entité sportive, liée à l’organisation des Jeux olympiques et paralympiques de Paris.
L’Anssi, ainsi que ses partenaires du C4, le Centre de coordination des crises cyber rassemblant le Comcyber, la DGA, la DGSE et la DGSI, ont enquêté sur le mode opératoire d’APT28 contre ces organisations nationales, mais aussi en Europe et en Amérique du Nord.
Au début de la chaîne de compromission, les opérateurs d’APT 28 conduisent des campagnes d’hameçonnage, d’attaques par force brute notamment contre des messageries web et d’exploitation de vulnérabilités y compris 0-day telle que la CVE-2023-23397
Cette faille de sécurité, qui concerne un protocole NTLM d’Outlook, a permis à des attaquants de voler des informations d’authentification sans intervention de l’utilisateur.
Les VPN et pare-feu ciblés pour échapper aux mécanismes de détection
Le C4 a également observé des campagnes de compromission d’équipements “situés en bordure de systèmes d’information”, tels que des VPN, des pare-feu et des routeurs, permettant aux cybercriminels de laisser peu de traces. Pour échapper aux mesures de détection, les pirates de Fancy Bear se sont en outre appuyés sur des “infrastructures infogérées à moindre coût et prêtes à l’emploi”. Il peut s’agir de serveurs loués, de services d’hébergement gratuit ou de création d’adresses e-mail temporaires, pour des missions de reconnaissance et d’exfiltration de données.
Parmi les principales campagnes examinées, l’Anssi note que les hackers russes ont ciblé “à de nombreuses reprises” des serveurs de messagerie Roundcube, pour en exfiltrer le contenu et s’attaquer à de nouvelles victimes. En 2023, les cybercriminels ont mené deux principales attaques de phishing, l’une consistant à utiliser un lien vers un sous-domaine d’un service web gratuit délivrant des fichiers ZIP malveillants, et l’autre visant à rediriger des utilisateurs de la messagerie Yahoo ou Ukr.net vers de fausses pages de connexion.
Le ministère des Affaires étrangères dénonce publiquement
Le ministère de l’Europe et des Affaires étrangères a ouvertement condamné “avec la plus grande fermeté” cette campagne de cyberattaques par le service du Kremlin. “Ces activités déstabilisatrices sont inacceptables et indignes d’un membre permanent du Conseil de sécurité des Nations unies" , écrit le Quai d’Orsay dans un communiqué. "Elles sont par ailleurs contraires aux normes des Nations unies en matière de comportement responsable des États dans le cyberespace, auxquelles la Russie a souscrit.” À noter qu’il s’agit de la première fois où la France désigne publiquement le renseignement militaire russe comme responsable de cyberattaques.
Actif depuis 2004, le groupe de cybercriminels APT28 a déjà ciblé l’Hexagone par le passé. Le ministère souligne par ailleurs son implication dans la “tentative de déstabilisation du processus électoral français en 2017”, à savoir le piratage d’e-mails de l’équipe de campagne d’Emmanuel Macron, ainsi que dans des cyberattaques menées contre la chaîne TV5Monde en 2015. Le groupe avait également été accusé par les États-Unis d’avoir interféré dans l’élection présidentielle américaine de 2016 pour favoriser Donald Trump, et avait mené la même année des opérations d’accès rapproché lors des JO de Rio.
– Source :
