L’Anssi alerte sur les cyberattaques de hackers russes contre la diplomatie française

L’Agence nationale chargée de la sécurité et des systèmes d’information (Anssi) a publié le 19 juin un rapport sur les activités cybermalveillantes liées au groupe russe Nobelium, aussi connu sous les noms de Midnight Blizzard ou Cozy Bear. Ce gang utilise des codes, techniques et procédures qui lui sont propres pour viser des entités diplomatiques, mais aussi de grandes entreprises de la tech.

Les ministères de la Culture et des Affaires étrangères pris pour cible

Le rapport met l’accent sur les campagnes de phishing que le groupe de hackers effectue contre différentes entités diplomatiques, en utilisant de réels comptes de messagerie piratés appartenant au personnel. Nobelium cible les institutions diplomatiques, les ambassades et les consulats. L’Anssi note que depuis début 2021, de nombreuses institutions françaises ont été ciblées par les hackers de Nobelium, dont le ministère des Affaires étrangères.

L’Anssi rapporte qu’entre février et mai 2021, les hackers de Nobelium ont conduit de nombreuses attaques de ce type visant le ministère de la Culture et l’Agence nationale de la cohésion des territoires (ANCT). Les hackers avaient alors envoyé une pièce jointe, intitulée “Examen stratégique”. Ces derniers n’ont finalement pas pu effectuer de mouvement latéral, leur permettant d’avoir accès à d’autres environnements et ressources à partir d’un unique accès, mais les adresses compromises ont tout de même été utilisées pour cibler le ministère des Affaires étrangères.

Les pirates informatiques ont ensuite tenté d’installer l’outil Cobalt Strike pour prendre le contrôle à distance des appareils piratés, en vain. Ce logiciel, auquel ont recours les chercheurs en cybersécurité pour simuler des attaques de cyberespionnage sur les réseaux professionnels, est de plus en plus utilisé par les acteurs malveillants.

Un groupe qui vise aussi les géants américains de la tech

Des dizaines d’adresses e-mail appartenant au ministère des Affaires étrangères ont aussi été visées dans le cadre d’une campagne de phishing menée par Nobelium en avril et mai 2022. Pour piéger les victimes, les pirates avaient inséré du contenu relatif à la fermeture d’une ambassade ukrainienne et à un rendez-vous avec un ambassadeur portugais. Un an plus tard, c’est au tour de l’ambassade française en Ukraine d’être prise pour cible par le groupe de hackers russes. Une tentative déjouée de cyberattaque a enfin été repérée en mai 2023, visant l’ambassade de France en Roumanie.

“Les capacités mises en œuvre pour compromettre un si grand nombre de comptes et la persistance des attaques indique que Nobelium est, de manière quasi-certaine, exploité pour le compte d’un État”, écrit l’Anssi. Ce groupe est en effet considéré comme affilié au SVR, le service de renseignement extérieur de la fédération de Russie. Ce gang est notamment connu pour être à l’origine de la cyberattaque contre SolarWinds, entreprise américaine fournissant des outils de gestion des infrastructures informatiques. Des ordinateurs du ministère américain de la Défense avaient alors été infiltrés.

Niveau élevé de la menace

L’agence fédérale de cybersécurité américaine (CISA) a par ailleurs confirmé que le groupe de hackers russes était à l’origine de la cyberattaque ayant visé Microsoft en janvier 2024. Des comptes de messagerie d’entreprise, y compris de certains dirigeants de la firme, avaient été piratés, et les cybercriminels avaient eu accès à certains référentiels de code source. Hewlett Packard Enterprise (HPE) avait également pointé du doigt Nobelium, après une intrusion dans les comptes de messagerie de ses spécialistes en cybersécurité.

L’Anssi a détecté un niveau élevé d’activité de la part du groupe Nobelium, notamment depuis le début de la guerre en Ukraine. Elle note que le ciblage des entreprises informatiques et de cybersécurité à des fins d’espionnage pourrait “potentiellement renforcer leurs capacités offensives et la menace qu’il représente”. L’une des dernières cyberattaques du groupe date de fin février, où Nobelium avait utilisé un malware pour cibler les partis politiques allemands.