CTI & OSINT

Compromission d’Entités Françaises par APT28

by  • 

Analyse Technique et Stratégique (2021–2025)

Je vous présente ici mon analyse du dernier rapport de l’ANSSI consacré à APT28. Ce document, remarquable par la qualité de ses informations en source ouverte, m’a servi de base pour une étude approfondie, enrichie par des recherches complémentaires.

Depuis 2021, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en collaboration avec le Centre de coordination des crises cyber (C4), a identifié une intensification des activités de compromission attribuées à APT28, un groupe de cybermenace lié à la Fédération de Russie.

Ces attaques ont principalement visé des entités françaises gouvernementales, industrielles, scientifiques et économiques dans un contexte géopolitique tendu, particulièrement depuis le début de la guerre en Ukraine en février 2022.

Attribution et Contexte Géopolitique

Le mode opératoire d’attaque (MOA) APT28 — également connu sous les noms de Fancy Bear, Sednit, Sofacy ou Pawn Storm — est actif depuis au moins 2004. Il est formellement attribué à la Russie par l’Union européenne. Les opérations observées ces dernières années s’inscrivent dans une logique de collecte de renseignements stratégique, souvent sans recours à des mécanismes de persistance longue, signe d’une approche ciblée et furtive.

Techniques, Tactiques et Procédures (TTP)

1. Phases Initiales d’Intrusion

APT28 utilise plusieurs vecteurs d’accès initial, notamment :

  • Phishing ciblé (emailing malveillant avec pièces jointes ou liens vers des fichiers infectés)
  • Attaques par force brute sur les webmails
  • Exploitation de vulnérabilités, y compris des zero-day (ex. : CVE-2023-23397 dans Microsoft Outlook)

2. Ciblage d’Équipements Périphériques

Les équipements souvent négligés ou mal surveillés, tels que :

  • Routeurs
  • VPN
  • Pare-feux
  • Serveurs de messagerie

…sont fréquemment compromis pour établir des points d’accès furtifs.

3. Usage d’Infrastructures Prêtes à l’Emploi

Les opérateurs recourent à :

  • Services d’hébergement gratuit (ex. : InfinityFree)
  • VPN publics
  • Créateurs d’adresses mail temporaires
  • Plateformes comme Mocky.io pour les C2 (Command and Control)

Ce choix permet une discrétion élevée et complique les efforts de détection des défenseurs.

Exemples de Campagnes

a. Exploitation de Serveurs ROUNDCUBE (2023)

APT28 a distribué des kits d’exploitation via phishing pour compromettre des serveurs ROUNDCUBE, permettant l’exfiltration d’emails et l’identification de nouvelles cibles.

b. Déploiement de la Porte Dérobée HeadLace

Via des archives ZIP malveillantes hébergées sur InfinityFree, les attaquants ont injecté le malware HeadLace, relayant des commandes depuis Mocky.io, pour :

  • Collecter des informations système
  • Extraire des identifiants
  • Déployer d’autres charges utiles

c. Usage d’OceanMap Stealer (2023–2024)

Une version évoluée d’OceanMap, utilisant le protocole IMAP pour voler les identifiants stockés dans les navigateurs, a été observée. Les outils SteelHook et MasePie ont servi à son déploiement.

d. Attaques de Phishing sur ZimbraMail et Outlook Web Access

APT28 a mis en œuvre des pages de connexion contrefaites pour usurper les identifiants d’utilisateurs sur UKR.NET, YAHOO, ZIMBRA et OWA, utilisant des services dynamiques de DNS pour masquer l’origine de leurs infrastructures.

Victimologie

Les campagnes depuis 2021 ont visé des entités françaises issues de secteurs critiques :

  • Administrations et ministères
  • Collectivités territoriales
  • Industrie de défense (BITD)
  • Aéronautique et spatial
  • Recherche académique et think tanks
  • Économie et finance

En 2024, une recrudescence des attaques sur les secteurs gouvernemental, diplomatique et scientifique a été constatée.

Recommandations Techniques de l’Agence (ANSSI)

  • Surveillance accrue des périphériques réseaux peu supervisés
  • Durcissement des webmails (authentification forte, MFA)
  • Blocage des domaines d’hébergement gratuit connus pour héberger des C2
  • Surveillance proactive des IOC publiés par le CERT-FR
  • Analyse comportementale des connexions IMAP suspectes

Encadré Analytique : Comparaison des Campagnes 2021–2024

Les campagnes récentes montrent une évolution dans la complexité des attaques :

  • 2021–2022 : phase de reconnaissance renforcée, exfiltration directe
  • 2023–2024 : utilisation accrue de malwares personnalisés, infrastructures décentralisées, et usage de serveurs à usage unique

MITRE ATT&CK Mapping (Synthèse textuelle)

  • Initial Access : Phishing (T1566), Exploitation de vulnérabilités (T1203)
  • Execution : Macros Office (T1059.005), Script PowerShell (T1059.001)
  • Persistence : Scheduled Task/Job (T1053), Manipulation de configurations (T1547)
  • Command and Control : Web Service (T1102), Dynamic DNS (T1568)
  • Exfiltration : IMAP (T1048.003), Compression avant exfiltration (T1560)

Kill Chain APT28 (Représentation séquentielle)

  1. Reconnaissance : collecte de mails, OSINT sur cibles
  2. Accès initial : hameçonnage ciblé ou exploit 0-day
  3. Exécution : dépôt d’un loader ou script PowerShell
  4. Persistante (facultative) : tâche planifiée
  5. Commandement et contrôle : via Mocky.io, services TOR ou VPN
  6. Exfiltration : mails, identifiants, documents sensibles

Si je devais conclure

Les campagnes APT28 démontrent une capacité de résilience et d’adaptation stratégique aux contextes techniques et géopolitiques. Leur modus operandi montre une montée en sophistication, reposant à la fois sur des vulnérabilités techniques et des erreurs humaines (exploitation de la messagerie, phishing ciblé).

La persistance des menaces liées à APT28 exige une cyberdéfense proactive, réactive et coordonnée à l’échelle nationale et européenne.

Enjoy !

Références