Ciblage et compromission d’entités françaises au moyen du mode opératoire d’attaque APT28

ANSSI
Document produit par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) détaillant les activités du groupe de cyberattaques APT28 depuis 2021.
 
Cette note technique de 7 pages analyse les méthodes d’attaque et la victimologie de ce groupe attribué publiquement à la Russie.
 
Le rapport décrit les techniques utilisées par APT28 pour compromettre des entités françaises, notamment via des campagnes d’hameçonnage, des attaques par force brute et l’exploitation de vulnérabilités. Les cibles principales en France depuis 2021 incluent des entités ministérielles, des collectivités territoriales, le secteur de la défense (BITD), l’aérospatial, la recherche et le secteur économique et financier.
Points clés :
  • Utilisation d’infrastructures infogérées à bas coût
  • Déploiement de portes dérobées comme HeadLace
  • Ciblage de serveurs de messagerie ROUNDCUBE
  • Usage de services web gratuits comme INFINITYFREE et MOCKY.IO
  • En 2024, focus sur les secteurs gouvernemental, diplomatique et de la recherche
Ce document s’inscrit dans le contexte de la guerre en Ukraine et des cyberattaques russes contre les pays occidentaux, avec une attention particulière portée aux activités observées entre 2021 et début 2024.


Ciblage-et-compromission-dentites-francaises-au-moyen-du-mode-operatoire-dattaque-APT28.pdf