L’Anssi (Agence nationale de la sécurité des systèmes d’information) rapporte qu’une campagne de cyberattaques est en cours sur des entités françaises. Celle-ci est menée par APT31, un groupe de hackers affilié à l’Etat chinois, via des produits Cyberoam de Sophos déclarés ‘en fin de vie’ par la société britannique de cybersécurité.

« Malheureusement il y a encore bien plus grave que les bourricots ailés et leurs avatars », a écrit sur LinkedIN le directeur de l’Anssi, Guillaume Poupard, en référence au logiciel Pegasus de NSO Group, avant de s’exprimer sur le mode opératoire de la campagne de cyberattaques en cours en France. « Les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions (depuis le début de l’année 2021) et de les mettre en détection », précise-t-il.

Notons qu’il est rare que l’Anssi partage autant d’informations sur des intrusions de hackers en cours.

Pierre Delcher, chercheur en sécurité chez Kaspersky, apporte des précisions supplémentaires concernant ces attaques identifiées depuis le mois de mai : « Les routeurs concernés sont des produits destinés aux particuliers et PME, sur lesquels une vulnérabilité a préalablement été exploitée afin qu’APT31 puisse en prendre le contrôle. Ces routeurs sont ensuite utilisés par l’acteur malveillant comme passerelles d’accès anonyme à Internet, pour mener des actions malveillantes – comme des attaques par force brute. Ils peuvent également être utilisés par APT31 comme relais vers des serveurs de commande et de contrôle CobaltStrike. Nous avions notamment attribué l’usage de ces routeurs compromis à APT31 car leur adresse Internet était parfois associée à des noms de domaines Internet dont le mode opératoire de création correspond aux usages d’APT31 tels que nous les connaissons. »

En parallèle, Sophos vient d’annoncer l’acquisition de Braintrace, une société américaine dont la technologie NDR permet de détecter du trafic C2 malveillant provenant de logiciels tels que CobaltStrike, BazarLoader ou TrickBot, ainsi que de vulnérabilités zero-day. Dans un communiqué, la société britannique indique vouloir ainsi renforcer ses défenses face aux cyberattaques, y compris par rançongiciel.