Actu
FireEye observe une recrudescence d’activités malveillantes de groupes russes ciblant plusieurs gouvernements européens en amont des élections à venir en 2019
mars 2019 par David Grout, Director Technical - PreSales, South EMEA de FireEye
FireEye, Inc. a
identifié des activités de cyber espionnage de deux groupes de cyber menaces russes
ciblant plusieurs gouvernements européens en amont des élections à venir en 2019.
Les activités observées, toujours en cours, se concentrent sur des états membres de
l’OTAN et se sont intensifiées de manière significative depuis la mi-2018.
FireEye pense que les deux groupes responsables de ces activités, « APT28 » et «
Sandworm Team », sont tous deux sponsorisés par l’état russe. En plus du ciblage
d’organisations gouvernementales européennes, les deux groupes ont également ciblé
des organes de presse en France et en Allemagne, des groupes politiques d’opposition
en Russie, et des organisations LGBT ayant des liens avec la Russie.
La méthode d’attaque initiale la plus couramment utilisée est le ’spear phishing’
(harponnage), c’est à dire l’envoi d’emails à des cibles spécifiques les incitant à
cliquer sur un lien ou un attachement malicieux, donnant accès à un document infecté
ou un faux site web utilisé pour voler des mots de passe. Pour accroître leurs
chances de succès, les attaquants enregistrent et utilisent des noms de domaine
similaires à ceux qui sont régulièrement utilisés par leurs cibles. Par exemple, des
cibles au sein de gouvernements européens ont reçu des emails contenant des liens
menant des sites ressemblant à des sites gouvernementaux légitimes. Ils affichent
également un expéditeur apparaissant comme légitime. Ces emails peuvent en outre
inciter leurs cibles à cliquer sur un lien pour changer leur mot de passe,
partageant ainsi leurs identifiants avec l’attaquant.
"Les deux groupes peuvent essayer d’avoir accès aux réseaux ciblés afin de récolter
des informations qui permettront à la Russie de prendre des décisions politiques
plus efficaces, ou afin d’extraire des données qui pourraient nuire à un candidat ou
un parti politique particulier en amont des élections européennes," a déclaré
Benjamin Read, Senior Manager of Cyber Espionage Analysis chez FireEye. "Le lien
entre cette activité et les élections européennes à venir doit encore être confirmé,
mais les multiples systèmes de votation et partis politiques impliqués dans les
élections créent une large surface d’attaques pour des hackers."
Les activités et objectifs des deux groupes APT28 et Sandworm Team semblent être
alignées, mais les outils et les méthodes qu’ils utilisent sont différents. Sandworm
Team a tendance à utiliser des outils librement disponibles, alors qu’APT28 utilise
des outils spécifiques et coûteux, et a déployé dans le passé des malwares zero day.
Ce type d’attaque profite d’une vulnérabilité découverte dans un logiciel, avant
qu’un correctif ait été diffusé. Dans la mesure du possible, FireEye a notifié les
organisations ciblées après avoir identifié les attaques.
