Regain d'attaques en France des hackers d'APT28, liés à la Russie


Crédit Thomas SAMSON / AFP
Paris, France | AFP | jeudi 26/10/2023 - Les cyberattaques des hackers d'APT28, liés au renseignement russe selon les experts, connaissent un regain d'activité depuis début 2023 contre des intérêts français (entités gouvernementales, entreprises, universités, instituts de recherche...) principalement à des fins d'espionnage, alerte l'Anssi dans un rapport paru jeudi.  

"Après une décrue au premier semestre 2022, nous constatons une augmentation de leur activité et ils sont actuellement très actifs", a expliqué l'Agence nationale pour la sécurité des systèmes d'information, qui a identifié et décortiqué le mode opératoire de ce groupe depuis 2021.

Depuis 2021, l'Anssi dénombre près d'une quinzaine de signalements d'attaques menées avec son mode opératoire, certaines visant plusieurs dizaines d'entités en même temps.

L'Anssi détaille les techniques du groupe, qui vise notamment les boîtes e-mail personnelles des salariés afin de récupérer des données, des courriels ou accéder aux autres machines d'un système, parfois avec des droits administrateurs.

En particulier, APT28, appelé aussi Fancy Bears, a utilisé pendant plus d'un an, de mars 2022 à juin 2023, une faille de sécurité de la messagerie Outlook de Microsoft qui permettait de pénétrer dans un système sans aucune interaction de l'utilisateur. 

Il suffisait qu'un email soit téléchargé ou même seulement consulté en visualisation pour qu'un code soit exécuté sur le poste de la victime. Microsoft a indiqué corriger cette faille mi-mars 2023.

Expert en ingénierie sociale (qui consiste à recueillir des données sur sa cible pour l'abuser par des messages crédibles), APT28 envoie aussi des emails de hameçonnage. Une fois que ses cibles ont cliqué sur un lien malveillant, le groupe utilise des outils pour extraire les mots de passe stockés sur l'ordinateur ou parvient à obtenir des mots de passe pour se connecter à des comptes administrateurs.

"La double authentification (qui consiste à présenter deux preuves d'identité distinctes, ndlr) n'apporte pas de protection contre ce type de vulnérabilité", précise l'Agence, qui recommande une série de précautions habituelles à prendre pour les organisations, comme le recours à des mots de passe forts.

APT28 est notamment jugé responsable par des chercheurs spécialisés des "Macron Leaks" en 2017 (piratage et diffusion de milliers de documents internes de l'entourage du futur président Emmanuel Macron juste avant le deuxième tour de la présidentielle de 2017).

Le groupe a aussi été accusé par le renseignement américain d'avoir interféré en 2016 dans l'élection présidentielle afin de favoriser Donald Trump en mettant en ligne des dizaines de milliers de messages du parti démocrate et des proches de sa rivale Hillary Clinton.

le Vendredi 27 Octobre 2023 à 00:20 | Lu 632 fois