"Retenez bien ce nom": qui est APT28, le groupe de hackers russes accusés d'être à l'origine des "Macron Leaks"?

"La menace est toujours active", alertent les autorités françaises dans une vidéo publiée par le ministre des Affaires étrangères, Jean-Noël Barrot, sur X ce mardi 29 avril. Objectif: sensibiliser les Français à la menace que constitue APT28. "Retenez bien ce nom. Car derrière ce sigle se cache le nouveau visage d'une guerre silencieuse menée par la Russie contre la France", avance la vidéo dès ses débuts.

Acronyme de Advanced Persistent Threat (menace persistante avancée), APT28 est un groupe de hackers russes, qui a été accusé par la France d'avoir participé aux "Macron Leaks", soit le piratage et la diffusion de milliers de documents internes de l'entourage d'Emmanuel Macron en 2017.

Un groupe actif depuis 2004

Comme l'indique l'Agence nationale de la sécurité des systèmes d'information (Anssi) dans un rapport publié ce mardi, APT28, aussi connu sous le nom de Fancy Bear est également utilisé pour désigner un mode opératoire d'attaque (MOA). Techniquement, il vise notamment les boîtes mail personnelles afin de récupérer des données, des courriels ou accéder aux autres machines d'un système, parfois avec des droits administrateurs.

Plus précisément, les membres du groupe conduisent des campagnes d'hameçonnage et d'attaques par force brute (méthode consistant à tester, l'une après l'autre, chaque combinaison possible d'un mot de passe lié à un identifiant) contre des messageries web. APT285 exploite également des vulnérabilités.

Actif depuis au moins 2004, selon l'Anssi, ce MOA "est régulièrement employé pour cibler des organisations gouvernementales et militaires, ainsi que les secteurs de la défense, de l'énergie et des médias, notamment en Europe et en Amérique du Nord".

Ce MOA est attribué publiquement par l'Union européenne à la Russie. Comme les États-Unis, l'UE accuse le groupe de hackers d'être lié au service de renseignement militaire russe (GRU). Il est aussi désigné comme responsable de plusieurs cyberattaques en France.

"APT28 infiltre les réseaux numériques français avec deux objectifs: collecter des renseignements au profit du Kremlin et déstabiliser nos sociétés en y créant de la défiance", soulignent les autorités françaises dans la vidéo.

Depuis 2021, il a multiplié les cibles en France, indique le ministère des Affaires étrangères. "Ce mode opératoire d'attaque a été utilisé dans le ciblage ou la compromission d'une dizaine d'entreprises françaises. Ces entités sont des acteurs de la vie des Français: services publics, entreprises privées, ainsi qu'une organisation sportive liée à l'organisation des Jeux olympiques et paralympiques 2024", indique-t-il.

En dehors de la France, APT28 est également accusé d'avoir mené des cyberattaques ayant ciblé d'autres pays européens. L'année dernière, Berlin a par exemple désigné le groupe de hackers comme responsable d'un piratage visant des membres du parti-social démocrate.

Depuis le début de la guerre en Ukraine, APT28 vise aussi régulièrement l'Ukraine, qui est devenue "l'une de [ses] priorités", indiquent les autorités. Depuis le début de l'année 2023, ils ont par exemple mené des campagnes d'hameçonnage pour rediriger des utilisateurs des messageries UKR.NET et Yahoo vers de fausses pages de connexion afin de voler leurs identifiants, relate l'Anssi dans son rapport. En alertant sur la menace qu'APT28 représente, notamment avec ce rapport, les autorités françaises espèrent prévenir les futures attaques.