Fini de tourner autour du pot. Ce mardi 29 avril, pour la première fois, la diplomatie française a attribué au renseignement militaire russe, le GRU, une série d’attaques informatiques passées. Dont le sabotage de TV5 Monde et la tentative d’ingérence dans les élections françaises de 2017, les Macron Leaks.
Comme le veut la doctrine française, cette attribution est portée par la diplomatie et non les techniciens. C’est pour cela que le rapport associé de l’Anssi et du Centre de coordination des crises cyber (C4), qui rassemble le Comcyber, la DGA, la DGSE et la DGSI, mentionne simplement APT-28 et non le GRU.
Aux lecteurs de faire donc le lien. Un document certes court (sept pages seulement) mais instructif sur les activités des pirates russes. Comme le rappelle ce rapport, les espions venus de Moscou débutent leurs intrusions par des campagnes d’hameçonnage. Mais aussi par des attaques par force brut contre des messageries web ou encore en exploitant des vulnérabilités jour-zéro.
Pas une pingrerie
Signe distinctif de ces pirates, ils « s’appuient de manière notable sur des infrastructures infogérées à moindre coût et prêtes à l’emploi ». Comme des serveurs loués, des services d’hébergement gratuits, ou encore des VPN et adresses de messagerie temporaires.
Il ne s’agit pas d’une pingrerie. « L’utilisation de ces services offre une grande flexibilité dans la création et l’administration de nouvelles ressources et améliore la discrétion », rappellent l’Anssi et le C4. Ce type de service, utilisé de manière légitime par le public, permet de se fondre dans la masse.
Exemple avec le ciblage des serveurs de messagerie Roundcube. Ce client de messagerie open source est attaqué pour envoyer des courriels de hameçonnage. « Ces attaques visaient à exfiltrer le contenu des comptes de messagerie et à identifier de nouvelles cibles », précisent les agences françaises.
Plus près de nous, entre décembre 2023 et février 2024, le Cert ukrainien avait également documenté l’utilisation d’une mise à jour du stealer OceanMap. Une façon là aussi de dérober des données d’authentification via deux programmes malveillants, MasePie et SteelHook.
Détournement
Courant 2023, une nouvelle chaîne d’attaque a été observée par les agences françaises. Les espions russes envoyaient alors des courriels de hameçonnage contenant un lien vers sous-domaine du service d’hébergement « Infinity Free ». Le but? Envoyer à la cible une archive malveillante en format Zip contenant la porte dérobée HeadLace.
Cette dernière s’appuyait sur des commandes hébergées sur Mocky.io, un générateur de réponses API personnalisées. Ces commandes permettaient de récupérer des informations sur la cible, des identifiants de connexion, ou encore de déployer des outils offensifs.
Autre détournement de Mocky.io par les espions russes: au début de l’année 2023, signalent l’Anssi et le C4, ils ont tenté de lancer des campagnes de hameçonnage contre des utilisateurs de messageries Ukr.net et Yahoo. Mocky.io était à nouveau mis à contribution pour dissimuler l’exfiltration de données. Deux ans plus tard, c’est raté.