L’ANSSI met en garde contre les cyber-espions de l’APT31

0

L’agence nationale française de cybersécurité(ANSSI) a mis en garde contre une série d’attaques en cours contre un grand nombre d’organisations françaises coordonnées par le groupe de piratage APT31 soutenu par la Chine.

« Il ressort de nos enquêtes que l’acteur malveillant utilise un réseau de routeurs domestiques compromis comme boîtiers relais opérationnels afin d’effectuer des reconnaissances furtives ainsi que des attaques », indique l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans un bulletin d’alerte publié la semaine dernière.

« A ce titre, des indicateurs de compromis sont partagés pour aider à évaluer les compromis possibles (les recherches devraient commencer début 2021) et utilisés dans les services de détection. »

Les organisations qui détectent l’un des indicateurs de compromis partagés dans leurs logs pointant vers une attaque potentiellement liée à cette campagne APT31 en cours sont invitées à signaler l’incident à l’ANSSI par courrier électronique.

APT31 (également connu sous le nom de Zirconium et Judgment Panda) est un groupe de piratage informatique travaillant pour le gouvernement chinois connu pour ses nombreuses opérations d’espionnage et de vol d’informations.

Cette menace a été liée dans le passé au vol et à la réutilisation de l’exploit EpMe de la NSA des années avant que Shadow Brokers ne le divulgue publiquement en Avril 2017.

L’année dernière, Microsoft a observé des attaques d’APT31 ciblant la communauté des affaires internationales et des personnalités de premier plan associées à la campagne présidentielle de Joe Biden.

Le groupe APT31 a également été repéré par Google alors qu’il ciblait « les e-mails personnels des membres du personnel de la campagne avec des e-mails de phishing d’identifiants et des e-mails contenant des liens de suivi ».

Les opérations chinoises de cyber-espionnage sous le feu des projecteurs

Ces attaques surviennent après que les États-Unis et leurs alliés, dont l’Union européenne, le Royaume-Uni et l’OTAN, aient officiellement accusé la Chine de la campagne de piratage de Microsoft Exchange de cette année.

Les cyberattaques ont eu lieu début 2021 et ont ciblé plus d’un quart de million de serveurs Microsoft Exchange, appartenant à des dizaines de milliers d’organisations dans le monde.

Le gouvernement de Biden a attribué « avec un degré élevé de confiance que les cyber-acteurs malveillants affiliés au MSS de la République Populaire de Chine ont mené des opérations de cyber-espionnage en utilisant les vulnérabilités zero-day de Microsoft Exchange Server divulguées début Mars 2021 ».

Le même jour, le Royaume-Uni a ajouté que le ministère chinois de la Sécurité d’État (MSS) était à l’origine de groupes de piratage soutenus par l’État chinois et identifiés comme APT40 et APT31.

La NSA, la CISA et le FBI ont également publié un avis conjoint avec plus de 50 tactiques, techniques et procédures (TTP) que les cyber-acteurs parrainés par l’État chinois ont utilisées dans des attaques contre les États-Unis et les réseaux alliés.

Quatre agents du renseignement du ministère de la Sécurité d’État qui feraient partie du groupe de menaces d’APT40 sont également poursuivis par le ministère de la Justice pour une campagne pluriannuelle ciblant des gouvernements et des organisations de secteurs critiques dans le monde entier.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire