Changement de tactique pour l’Agence nationale de la sécurité des systèmes d'information (Anssi). Suite à la découverte d’une campagne d’attaque ciblant de nombreuses entités françaises, Guillaume Poupard, directeur général de l’agence, a attribué cette attaque au groupe APT31, lié au gouvernement chinois et notamment mis en cause dans l’attaque des serveurs Microsoft Exchange survenue il y a quelques mois. Le groupe est par ailleurs connu sous différents noms, Zirconium, Panda, et vise généralement les organisations gouvernementales, financières, de défense ou encore les entreprises spécialistes dans les technologies ou l’ingénierie.

Une liste d'indices de compromission diffusée

Le patron de l’Anssi a commenté l’attaque sur LinkedIn, avec en préambule un clin d'oeil à l'actualité de Pegasus « parce que malheureusement il y a encore bien plus grave que les bourricots ailés et leurs avatars..». Il reprend plus sérieusement en soulignant que « les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions (depuis le début de l’année 2021) et de les mettre en détection ». Une liste des IoC est donc fournie sur le site du Cert.fr

Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) a également communiqué à ce sujet dans un bulletin d’alerte. Pour rappel, le Cert-fr est l’une des composantes curatives complémentaires des actions préventives assurées par l’Anssi. Cette dernière rappelle par ailleurs que l’intrusion dans un système d’information est une infraction pénale et pourra mettre en relation toute entité visée dans le cadre de cette campagne avec les services judiciaires compétents.

Des dizaines de pays ciblés par APT31

Cette campagne aurait démarré début 2021. Elle exploite une technique dont le groupe cybercriminel – dit à la solde de Pékin – est coutumier. En l’occurrence, le piratage de routeurs grand public et professionnels pour en faire des relais d’anonymisation. L’Anssi a diffusé une liste de 161 adresses IP correspondant à ces routeurs avec une répartition mondiale très hétérogène. Parmi ces adresses, 34,2% sont d’origine russe, 19,6% d’origine égyptienne, 10% proviennent du Maroc, 8,2% des Emirats Arabes Unis, et la liste continue avec des pays d’Asie Pacifique et d’Amérique du Sud également affectés. Un chercheur en sécurité de Cyjax, Will Thomas, a publié à cet effet un graphique recensant les principales localisations géographiques de ces adresses :

 

Sur Twitter, les réactions d’experts en cybersécurité n’ont pas tardé à affluer quelques heures après l’annonce de l’Anssi. La France, déjà mise à l’épreuve par l’affaire Pegasus, se retrouve confrontée à une crise cyber sans précédent. Selon Franceinfo, l’Agence nationale de la sécurité des systèmes d’information a par ailleurs proposé ses services aux personnes qui auraient pu faire l’objet d’une intrusion. Un mail d’urgence a été mis en place (cert-fr.cossi@ssi.gouv.fr) afin de faire remonter à l’Anssi tout incident découvert en lien avec cette campagne.