L’Anssi alerte sur le groupe russe APT28

Le CERT-FR de l’Anssi a publié, le 26 octobre 2023, un rapport sur les attaques menées depuis 2021 par le groupe cybercriminel russe APT28 contre des organisations françaises. Parmi ces cibles figurent des entités gouvernementales, des entreprises, des universités, des instituts de recherche et des groupes de réflexion.

Actif depuis au moins dix ans, APT28, connu également sous le nom de « Fancy Bear », serait sous le contrôle du GRU, le service de renseignement militaire russe. Le rapport du CERT-FR décortique, dans sa première partie, « les tactiques, techniques et procédures (TTP) caractéristiques des activités du mode opératoire APT28 depuis la seconde moitié de l’année 2021 ».

Il détaille l’utilisation, par le groupe cybercriminel, des attaques par force brute, des exploitations de vulnérabilités ou d’hameçonnage à partir de comptes de confiance compromis. « Les attaquants réduisent le risque de détection en compromettant des équipements peu surveillés et situés en périphérie du réseau (routeurs, passerelles et serveurs de messagerie, pare-feux, etc) », précise l’Anssi.

Dans une seconde partie, l’Anssi liste les moyens de se défendre contre ces attaques. Le rapport recommande de systématiser l’usage du chiffrement de bout en bout dans les échanges par mail, et d’opter pour une plateforme sécurisée d’échange de documents. L’Anssi conseille aussi aux organisations de changer fréquemment les mots de passe sensibles et de former leurs équipes au risque d’hameçonnage.