Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, le CERT-FR publie un mémo (PDF) sur les campagnes d’attaques du groupe APT28 depuis 2021. Agence nationale de la sécurité des systèmes d’information, l’Anssi a analysé des chaînes de compromission et le mode opératoire de ce groupe de cyberespionnage.
» Certaines campagnes ont été dirigées contre des organisations françaises, dont des entités gouvernementales, des entreprises, des universités, ainsi que des instituts de recherche et des groupes de réflexion. » Selon l’Anssi, APT28 est redevenu très actif.
Le groupe APT28 est une vieille connaissance. Ayant pu se faire passer pour un groupe d’hacktivistes (Fancy Bears), il serait lié aux services de renseignement militaire russe, même si c’est un point qui n’est pas abordé dans le rapport.
Fan d’une vulnérabilité Microsoft Outlook
Selon l’Anssi, le mode opératoire repose sur l’utilisation de comptes de messagerie compromis pour mener des campagnes de phishing. Des identifiants et mots de passe des comptes peuvent avoir fait l’objet d’une publication à la suite de fuites de données.
APT28 a également recours à des attaques par force brute pour recueillir massivement des informations de connexion et alimenter des dictionnaires d’attaque. Les informations obtenues sont réutilisées afin de cibler des comptes de salariés. Toutefois, des routeurs Ubiquiti ont aussi pu être compromis sur des réseaux ciblés.
Entre mars 2022 et juin 2023, APT28 a exploité une vulnérabilité 0-day affectant Outlook pour Windows (CVE-2023-23397). Via des e-mails, il s’agissait de déclencher une connexion SMB auprès d’un service contrôlé par l’attaquant.
VPN et services cloud légitimes
D’autres vulnérabilités de sécurité exploitées touchaient Microsoft Support Diagnostic Tool (CVE-2022-30190) et l’application Roundcube. » Le mode opératoire APT28 est en mesure d’exploiter des vulnérabilités afin de gagner en privilèges sur les postes clients, les serveurs ou les équipements compromis « , peut-on lire dans le rapport.
L’Anssi indique que APT28 utilise une large gamme de clients VPN pour mener ses activités. En particulier, SurfShark, ExpressVPN, CactusVPN et ProtonVPN.
L’infrastructure du serveur de commande et contrôle s’appuie en outre sur des services cloud légitimes, comme Microsoft OneDrive et Google Drive. Une manière de réduire les risques de détection par des outils de surveillance du trafic.