L’Anssi tire à nouveau la sonnette d’alarme contre les pirates informatiques du groupe Nobelium. Moins de trois ans après un précédent rapport, le cyber-pompier de l’Etat revient sur les activités malveillantes de ce groupe, relié publiquement, souligne-t-il, à l’un des services de renseignement russe, le SVR. Une mention précise de cette attribution publique absente dans le précédent rapport.
Comme l’agence l’avait déjà signalé, Nobelium, accusé par exemple par Microsoft d’être à l’origine du piratage de la société SolarWinds en 2020, s’est illustré dans une campagne visant le ministère des affaires étrangères français.
Mais le nouveau rapport est cependant bien plus riche en détails que le précédent.
Campagne persistante
Ainsi, à partir de février 2021, les pirates ont d’abord ciblé des agents du ministère de la culture et de l’agence nationale de la cohésion des territoires avec des pièces jointes piégées envoyées par mail. Ces premières intrusions n’avaient toutefois pas permis aux attaquants d’aller vraiment plus loin, comme par exemple en réussissant à installer Cobalt Strike.
Ce genre d’outils leur permet ensuite de s’immiscer dans les réseaux informatiques de leur cible et de voler des informations précieuses.
Mais la campagne malveillante, relève l’Anssi, n’avait toutefois pas cessé. Un an plus tard environ, un mail de phishing envoyé à partir du compte compromis d’un diplomate avait été envoyé à des agents d’une autre ambassade européenne en Afrique du sud.
Problème de sécurité nationale
Puis quelques mois plus tard, des comptes emails d’agents du ministère des Affaires étrangères étaient également ciblés par des tentatives d’hameçonnage, tout comme l’ambassade de France à Kiev au printemps 2023. Enfin, une dernière attaque à la même date contre l’ambassade française en Roumanie échouait grâce à la bonne réaction des agents.
Les thèmes développés dans ces mails d’hameçonnage sont variés. Ils allaient de l’alerte terroriste à la vente d’une voiture diplomatique. Reste que le volume important d’attaques – le groupe s’est distingué, outre celles visant l’administration française, par une action contre les cadres de l’entreprise Microsoft – qui justifie, pour l’Anssi, la publication d’un nouveau rapport.
Ses experts jugent que les pirates de Nobelium sont ainsi à l’affût de nouvelles failles leur permettant de mener des attaques contre la chaîne d’approvisionnement. Faisant de ce groupe un « problème de sécurité nationale », qui pourrait mettre en danger les intérêts diplomatiques de la France et de l’Europe.