Campagne de compromission touchant de nombreuses entités françaises

L'ANSSI a indiqué, le 21 juillet, traiter une vaste campagne de compromission touchant de nombreuses entités françaises. Cette campagne est toujours en cours et l'ANSSI précise que :

Cette campagne, particulièrement virulente, est conduite par le mode opératoire APT31.

Ce mode opératoire compromet des routeurs pour les utiliser comme relais d'anonymisation, préalablement à la conduite d'actions de reconnaissance et d'attaque.

La Norvège avait précédemment attribué l'attaque de 2018 contre son gouvernement à ce groupe.

L'ANSSI a mis à disposition des éléments (IOC) permettant de détecter une attaque par ce groupe.

Si vous travaillez directement ou indirectement pour une entreprise dans un secteur ciblé par APT31, nous vous invitons à télécharger ces IOCs et mettre à jour vos systèmes de défense.

En savoir plus sur APT 31*

Responsable présumé : Chine

Secteurs ciblés : Administration, établissements financiers internationaux, entreprises de multiples secteurs (aérospatiale, défense, high-tech, construction et ingénierie, télécoms, médias et assurance).

Présentation : APT31 est un groupe de cyberespionnage à la solde de Pékin dont la mission est de récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois.

Malwares associés : SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT

Vecteurs d’attaque : APT31 exploite les vulnérabilités d'applications telles que Java et Adobe Flash pour compromettre les environnements de ses victimes. *source : FireEye

Si vous avez besoin d'aide pour évaluer ou renforcer votre niveau de sécurité de l'information, n'hésitez pas à nous contacter.