La société de cybersécurité FireEye dit avoir identifié des activités de cyberespionnage menées par deux groupes russes et ciblant plusieurs gouvernements européens. Des campagnes d'attaque qui ne sont pas forcément nouvelles mais se poursuivent à l'approche des élections européennes.
Comme fréquemment, un nom cité est celui du groupe APT28, autrement connu en tant que Fancy Bear ou encore Strontium. Il est suspecté d'être lié aux renseignements militaires russes. L'autre groupe de cyberespionnage évoqué est Sandworm (ou Team Sandworm). Un nom qui a déjà circulé pour les attaques NotPetya par exemple.
La méthode d'attaque initiale la plus courante est celle du phishing ciblé (spear phishing) avec l'envoi d'emails piégés. " Des cibles au sein de gouvernements européens ont reçu des emails contenant des liens menant vers des sites ressemblant à des sites gouvernementaux légitimes. " Le but est de recueillir des informations ou voler des identifiants imprudemment communiqués.
Néanmoins, FireEye souligne que si le groupe Sandworm va utiliser des outils " librement " disponibles pour ses attaques, APT28 se tourne plutôt vers des outils coûteux et a notamment déployé des exploits 0day. Si le lien entre les attaques et les élections européennes n'est pas formellement confirmé, il est en tout cas fortement suspecté.
" Les deux groupes peuvent essayer d'avoir accès aux réseaux ciblés afin de récolter des informations qui permettront à la Russie de prendre des décisions politiques plus efficaces, ou afin d'extraire des données qui pourraient nuire à un candidat ou un parti politique particulier en amont des élections européennes ", déclare Benjamin Read, Senior Manager of Cyber Espionage Analysis chez FireEye.
Pas plus détails, mais le mois dernier, Microsoft avait aussi donné l'alerte pour des cyberattaques avec pour but de tenter d'influencer les élections européennes. Le nom du groupe Strontium (et donc APT28) était également sorti du chapeau.
