Ils seraient à l’origine des « Macron Leaks » qui ont pollué la campagne présidentielle de 2017. Comme leurs homologues de Sandworm, les hackers russes du groupe APT28 sont dans le viseur des autorités européennes qui les accusent de cyberattaques répétées contre des institutions et des partis politiques.
Le ton monte encore d’un cran entre l’Union européenne (UE) d’un côté et la Russie de l’autre. Le gouvernement allemand a accusé vendredi 3 mai le groupe APT28, un groupe de hackers lié au GRU, les services de renseignement militaire russes, d’avoir notamment ciblé des adresses email de responsables du SPD, le parti social-démocrate du chancelier Olaf Scholz.
Dans la foulée, le ministère tchèque des Affaires étrangères a également déclaré que Prague avait été à plusieurs reprises la victime de cyberattaques orchestrées par ce groupe, aussi connu sous le surnom de « Fancy Bear ». Celui-ci aurait exploité « une vulnérabilité inconnue jusqu’alors dans Microsoft Outlook » pour cibler certaines institutions tchèques. Cette faille permettait de pénétrer dans les systèmes sans aucune interaction de l’utilisateur.
Des activités d’influence et d’espionnage au service de la Russie
« L’UE ne tolérera pas de tels comportements malveillants, en particulier les activités qui visent à dégrader nos infrastructures critiques, à affaiblir la cohésion sociétale et à influencer les processus démocratiques, en gardant à l’esprit les élections de cette année dans l’UE et dans plus de 60 pays à travers le monde », a mis en garde Josep Borrell, le chef de la diplomatie européenne.
Comme leurs homologues du groupe Sandworm, liés également au GRU, les hackers de APT28 sont dans le viseur des autorités occidentales. Selon un rapport publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), cette cellule aurait multiplié depuis 2021 les attaques contre des entités gouvernementales, des entreprises, des universités, des instituts de recherche et des groupes de réflexion français.
Des techniques sophistiquées
Le groupe s’attaque notamment aux boîtes e-mail personnelles des salariés afin de récupérer des données, des courriels ou d’accéder aux autres machines d’un système. Il utilise également les attaques par ingénierie sociale, une technique de manipulation utilisée par les cybercriminels pour inciter les gens à partager des informations confidentielles.
Comme l’explique le site spécialisé 01net, les pirates ont recours à des leurres, généralement des faux sites ou des faux emails taillés sur mesure : les fonctionnaires reçoivent des faux dossiers ou messages de service, les journalistes des fausses propositions de collaboration, les industriels des fausses invitations à des colloques… Quand le « hameçonnage » fonctionne, le piège peut se refermer très vite : « Un malware de type downloader est installé. Baptisé Sourface, il va télécharger les outils d’espionnage proprement dits, à savoir Eviltoss et Chopstick. Le premier est une porte dérobée qui permet d’accéder au système, de voler des identifiants et d’exécuter des lignes de commande Shell. Le second est un genre de couteau suisse du cyberespionnage. De conception modulaire, il peut facilement être adapté à l’environnement ciblé. Il peut enregistrer les entrées clavier, prendre des copies d’écrans, scanner les systèmes de fichiers, exécuter des commandes Shell etc. ».
Actif depuis au moins 2007, APT28 semble particulièrement virulent pour faire de l’ingérence au sein des partis politiques européens. Une enquête du Monde accrédite ainsi son implication, ainsi que celle de Sandworm, dans les « MacronLeaks », à savoir le piratage et la diffusion de milliers de documents internes à l’entourage du futur président Emmanuel Macron lors de sa campagne de 2017. Deux jours avant le vote du second tour de l’élection, plus de 20 000 courriers électroniques liés à la campagne avaient ainsi été rendus publics sur un site anonyme de partage de fichiers, baptisé Pastebin.