Des acteurs parrainés par l’État ayant des liens avec la Russie ont été associés à des cyberattaques ciblées visant des entités diplomatiques françaises, a déclaré l’agence nationale de sécurité de l’information ANSSI dans un avis.
Les attaques ont été attribué à un cluster suivi par Microsoft sous le nom de Midnight Blizzard (anciennement Nobelium), qui chevauche les activités suivies comme APT29, BlueBravo, Cloaked Ursa, Cozy Bear et The Dukes.
Alors que les surnoms APT29 et Midnight Blizzard ont été utilisés de manière interchangeable pour désigner des ensembles d’intrusions associés au Service russe de renseignement extérieur (SVR), l’ANSSI a déclaré préférer les traiter comme des groupes de menaces disparates aux côtés d’un troisième surnommé Dark Halo, qui a été retenu. responsable de l’attaque de la chaîne d’approvisionnement de 2020 via le logiciel SolarWinds.
« Nobelium se caractérise par l’utilisation de codes, tactiques, techniques et procédures spécifiques. La plupart des campagnes Nobelium contre les entités diplomatiques utilisent des comptes de messagerie légitimes compromis appartenant au personnel diplomatique et mènent des campagnes de phishing contre les institutions diplomatiques, les ambassades et les consulats », a déclaré le rapport. a déclaré l’agence.
Il convient de noter que le ciblage des entités diplomatiques est également surveillé sous le nom de Diplomatic Orbiter.
Les attaques consistent à envoyer des e-mails de phishing à des organismes publics français en provenance d’institutions étrangères et d’individus préalablement compromis par l’acteur menaçant pour lancer une série d’actions malveillantes.
« En mai 2023, plusieurs ambassades européennes à Kiev ont été ciblées par une campagne de phishing menée par les opérateurs de Nobelium », précise le communiqué. « L’ambassade de France à Kiev était l’une des cibles de cette campagne, menée à travers un email ayant pour thème une ‘Voiture diplomatique à vendre’. »
Une autre attaque observée le même mois visant l’ambassade de France en Roumanie s’est finalement soldée par un échec, a constaté l’ANSSI.
D’autres intrusions montées par l’acteur malveillant ont exploité des failles de sécurité dans les serveurs JetBrains TeamCity dans le cadre d’une campagne opportuniste. Ces derniers mois, elle a également été liée à des failles de Microsoft et Hewlett Packard Enterprise (HPE).
« Le ciblage des entités informatiques et de cybersécurité à des fins d’espionnage par les opérateurs de Nobelium renforce potentiellement leurs capacités offensives et la menace qu’elles représentent », a déclaré l’agence. « Les renseignements recueillis lors des récentes attaques contre des entités du secteur informatique pourraient également faciliter les opérations futures de Nobelium. »
La divulgation intervient alors que la Pologne révélé que des hackers russes pourraient être à l’origine du Attaque DDoS sur Telewizja Polska (TVP), qui a entraîné l’interruption de la diffusion en ligne du tournoi de football Euro 2024, le 16 juin 2024.