Des cibles de renseignements en France, en Europe, en Ukraine et en Amérique du Nord

Depuis 2021, le mode opératoire d’attaque (MOA) APT 28 a été mis en œuvre à des fins de collecte de renseignements stratégiques contre de nombreuses entités en France, en Europe, en Ukraine et en Amérique du Nord.

En France, il visait particulièrement : des entités ministérielles, des collectivités territoriales et des administrations, des entités du secteur de la Base industrielle et technologique de Défense (BITD), des entités du secteur de l’aérospatial, des entités du secteur de la recherche et des groupes de réflexions (think-tank), et des entités du secteur de l’économie et de la finance.

Les campagnes d’espionnage associées au MOA APT28 contre l’Ukraine et les pays de l’Organisation du traité de l’Atlantique nord et de l’Union européenne se poursuivent dans le contexte de la guerre d’agression déclenchée par la Russie contre l’Ukraine le 24 février 2022.

Ces éléments ont été constatés par le Centre de coordination des crises cyber (C4) composé de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), du Commandement de la cyberdéfense (COMCYBER), de la Direction générale de l’armement (DGA), de la Direction générale de la sécurité extérieure (DGSE) et de la Direction générale de la sécurité intérieure (DGSI).

Le mode opératoire d’attaque APT28, attribué à la Russie par l’Union européenne

Le MOA APT28, actif depuis au moins 2004, est attribué publiquement par l’Union Européenne à la Russie. Ce MOA est régulièrement employé pour cibler des organisations gouvernementales et militaires, ainsi que les secteurs de la défense, de l’énergie et des médias, notamment en Europe et en Amérique du Nord.

Dans le contexte de la guerre d’agression déclenchée par la Russie contre l’Ukraine le 24 février 2022, ce MOA est régulièrement mis en œuvre lors d’attaques informatiques à des fins de collecte de renseignement contre des entités ukrainiennes gouvernementales, militaires, des infrastructures critiques, des entités médiatiques et financières, des collectivités territoriales et des individus.

D’autre part, des campagnes récentes d’espionnage associées à APT28 ont ciblé des entités gouvernementales de pays européens, des partis politiques, des entités du secteur de la défense, de la logistique, de l’armement, de l’industrie aérospatiale, de l’informatique ainsi que des fondations et associations.

Chaînes de compromission et infrastructure

Les investigations des partenaires du C4 s’appuient notamment sur des rapports publics, des analyses d’infrastructures et des éléments collectés et analysés durant le traitement d’incidents. Elles ont permis d’identifier plusieurs chaînes de compromission associées au MOA APT28 utilisées à des fins d’espionnage. Les membres du C4 suivent l’évolution des techniques, tactiques et procédures (TTP) du MOA, qui ont été adaptées à de nouveaux contextes sans être entièrement renouvelées depuis 2021.

Au début de la chaîne de compromission, les opérateurs du MOA APT28 conduisent ainsi des campagnes d’hameçonnage, d’attaques par force brute notamment contre des messageries web (webmails), et d’exploitation de vulnérabilités y compris jour-zéro.