Les cyberattaques des hackers d’APT28, liés au renseignement russe, connaissent un regain d’activité depuis début 2023 contre des entités gouvernementales, entreprises, universités, instituts de recherche, etc. françaises. Cela a des à des fins d’espionnage, alerte l’Anssi dans un rapport du CERT-FR.
“Après une décrue au premier semestre 2022, nous constatons une augmentation de leur activité et ils sont actuellement très actifs”, a expliqué l’Agence nationale pour la sécurité des systèmes d’information (Anssi), dont le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (le CERT-FR) a identifié et décortiqué le mode opératoire de ce groupe depuis 2021. L’Agence dénombre ainsi près d’une quinzaine de signalements d’attaques menées avec son mode opératoire, parfois contre plusieurs dizaines d’entités en même temps. Elle détaille également les techniques du groupe, qui vise les boîtes e-mail personnelles des salariés afin de récupérer des données, des courriels ou accéder aux autres machines d’un système, parfois avec des droits administrateurs.
Une vulnérabilité non corrigée par Microsoft pendant plus d’un an
En particulier, APT28, appelé aussi Fancy Bears, a utilisé de mars 2022 à juin 2023 une vulnérabilité de la messagerie Outlook de Microsoft qui permettait de pénétrer dans un système sans aucune interaction de l’utilisateur. Il suffisait qu’un email soit téléchargé ou même seulement consulté en visualisation pour qu’un code soit exécuté sur le poste de la victime. Microsoft a indiqué corriger cette faille mi-mars 2023. Expert en ingénierie sociale (qui consiste à recueillir des données sur sa cible pour l’abuser par des messages crédibles), APT28 envoie aussi des emails de hameçonnage. Une fois que ses cibles ont cliqué sur un lien malveillant, le groupe utilise des outils pour extraire les mots de passe stockés sur l’ordinateur ou parvient à obtenir des mots de passe pour se connecter à des comptes administrateurs.
L’authentification multi-facteurs (MFA) plus que de rigueur
“La double authentification (qui consiste à présenter deux preuves d’identité distinctes, ndlr) n’apporte pas de protection contre ce type de vulnérabilité“, précise l’Agence, qui recommande une série de précautions habituelles à prendre pour les organisations, comme le recours à des mots de passe forts. APT28 est notamment jugé responsable par des chercheurs spécialisés des “Macron Leaks” en 2017 (piratage et diffusion de milliers de documents internes de l’entourage du futur président Emmanuel Macron juste avant le deuxième tour de la présidentielle de 2017). Le groupe a aussi été accusé par le renseignement américain d’avoir interféré en 2016 dans l’élection présidentielle afin de favoriser Donald Trump en mettant en ligne des dizaines de milliers de messages du parti démocrate et des proches de sa rivale Hillary Clinton.
La rédaction avec AFP