Le groupe de pirates russes Midnight Blizzard, aussi connu sous les dénominations Nobelium ou Cosy Bear, fait régulièrement parler de lui pour ses opérations d'intrusion dans les réseaux des administrations et ses campagnes de phishing visant des personnalités politiques.
L'Agence nationale de sécurité des systèmes d'information (ANSSI) a publié un rapport analysant les différentes opérations qui lui sont attribuées, depuis les origines dans les années 2010 sous le nom APT29 jusqu'à de récentes campagnes menées depuis 2020 sous l'appellation Nobelium.
Elle souligne que ce groupe mène principalement des activités d'espionnage sur tous les continents pour le compte du service de renseignement extérieur russe SVR.
Des tentatives répétées contre les intérêts français
L'ANSSI décrypte en particulier une nouvelle phase des activités du groupe de pirates qui cible plus particulièrement les intérêts français depuis 2021. Une partie de cette activité repose sur des campagnes de phishing visant des institutions diplomatiques, des ambassades et des consulats en vue d'obtenir des accès aux réseaux internes et aux données qu'ils contiennent.
Cela ne l'empêche pas de mener également des intrusions au sein de grands groupes high-tech comme Microsoft (fin 2023) ou Hewlett-Packard Enterprise (HPE, début 2024) et d'en extraire d'intéressantes informations.
Le rapport décrit plusieurs opérations visant du personnel du ministère de la Culture ou des ambassades françaises ou européennes à l'aide d'emails compromis de diplomates mais aucun des efforts pour installer des logiciels de prise de contrôle à distance n'ont pu aller jusqu'au bout.
Une menace toujours active
L'ANSSI note tout de même que les attaques attribuées à Nobelium contre des intérêts français ont été régulières et les procédés, les outils employés ainsi que les efforts mis pour tenter de tromper les cibles signe la présence d'un Etat derrière ces opérations.
Pour l'agence, Nobelium reste actuellement une menace active contre les intérêts français et il convient d'être particulièrement vigilant en ces temps d'élections législatives anticipées et d'approche des Jeux Olympiques 2024 de Paris.
L'ANSSI considère que les activités de Nobelium peuvent constituer un problème de sécurité nationale et mettre en danger des intérêts français et européenns, d'autant plus que les récentes opérations réussies d'intrusion (chez Microsoft, notamment) ont peut-être donné de nouveaux moyens pour de futures opérations.
