L’agence française de cybersécurité a publié une alerte sur les campagnes de cyberespionnage visant l’infrastructure des fournisseurs de services et des bureaux d’études.
“Les attaquants compromettent ces réseaux d’entreprise pour accéder aux données et aux réseaux de leurs clients”, a déclaré dans un rapport technique de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) publié lundi.
Samuel Hassine, responsable de la division Cyber Threat Intelligence de l’ANSSI, explique que l’agence avait établi ce rapport en utilisant des informations issues d’enquêtes récentes de l’ANSSI à la suite d’activités de réponse aux incidents.
“À ce stade, l’analyse suggère deux vagues d’attaques séparées dans le temps et sans preuve technique d’un lien entre elles”, ont déclaré des responsables de l’ANSSI. “La première vague utilise principalement le malware PlugX. La deuxième vague s’appuie sur des outils légitimes et le vol d’identifiants.”
Les responsables de l’ANSSI n’ont pas nommé les victimes ni attribué les attaques. Cependant, le cheval de Troie porte dérobée PlugX mentionnée dans le rapport est un utilitaire commun qui a souvent été utilisé par des groupes de pirates informatiques soutenus par la Chine dans de nombreuses intrusions au cours de la dernière décennie.
Le rapport de l’ANSSI s’inscrit dans une tendance observée dans le courant de l’année passée, au cours de laquelle de nombreux rapports techniques et alertes de sécurité émanant d’agences de cybersécurité ont blâmé (et même mis en accusation) des pirates chinois pour de multiples attaques contre des fournisseurs de services cloud et des acteurs industriels européens.
Cela inclut des attaques chinoises coordonnées contre un large éventail de fournisseurs de cloud dans le monde entier (Operation Cloudhopper), tels que Visma, HPE et IBM; visant Airbus en France; le cabinet français de conseil et d’ingénierie Expleo; le constructeur automobile britannique Rolls-Royce; une campagne de plusieurs années visant plusieurs grandes entreprises allemandes, telles que ThyssenKrupp, BASF, Siemens, Henkel, Teamviewer, Valve et Bayer.
Deux rapports pour le prix d’un
En plus du rapport sur les attaques visant les fournisseurs de services et les firmes d’ingénierie, l’ANSSI a également publié un deuxième rapport au début du mois de septembre
Ce deuxième rapport détaille une campagne à grande échelle de phishing et de collecte de données d’identité ciblant principalement les organismes gouvernementaux.
“L’éventail des cibles supposées est large et comprend des responsables politiques nationaux ainsi que des think tanks”, ont déclaré des responsables de l’ANSSI. “Cinq entités diplomatiques ciblées appartiennent aux pays membres du Conseil de sécurité des Nations unies (Chine, France, Belgique, Pérou, Afrique du Sud)”.
L’ANSSI a déclaré que son rapport décrivait les mêmes activités que celles décrites précédemment au cours de l’été et de l’année dernière par des sociétés de cybersécurité telles que Anomali, Cisco Talos, ESTsecurity et Palo Alto Networks.
Ces attaques, toujours en cours, étaient liées à un acteur connu sous le nom de Kimsuky (Group123), lié au gouvernement nord-coréen.
L’ANSSI et son approche ouverte
Selon l’ANSSI, ces deux rapports ne sont qu’un début : ils prévoient d’en publier davantage à l’avenir, sur une page dédiée sur le site Web de l’agence. L’agence espère que ces rapports fourniront des détails techniques permettant aux entreprises françaises et étrangères de mettre en place des mesures de défense destinées à empêcher ou à bloquer de futures attaques.
L’agence française de cybersécurité suit une tendance popularisée par les agences américaines et britanniques, qui ont commencé au cours de la dernière année à partager davantage d’informations avec le secteur privé sur les opérations en cours de cyberespionnage, n’hésitant pas à parfois pointer du doigt d’autres pays et à libérer le code d’outils internes afin de les mettre à disposition du grand public (tels que le framework d’analyse des logiciels malveillants Ghidra de la NSA).
Sur ce dernier front, l’ANSSI a été la plus prolifique de toutes les agences. Au cours de l’année écoulée, l’agence a ainsi publié le code de CLIP OS, un système d’exploitation durci basé sur Linux, utilisé en interne par le gouvernement français; Tchap, un client de messagerie instantanée chiffré de bout en bout; et, plus récemment, OpenCTI, une plate-forme de traitement et de partage d’informations sur les menaces.
Comments