5 de maio de 2017, dois dias antes da segunda rodada das eleições presidenciais francesas que enfrentam os dois finalistas, Emmanuel Macron e Marine Le Pen, um grande vazamento de dados referente ao candidato de “en Marche” é colocado on -line na plataforma 4chan. Cerca de 21.075 e -mails, bem como outros elementos relacionados à campanha do candidato a Macron, são, portanto, entregues ao público, porque podem ter comprometimentos. Seja verdadeiro ou falso, a dúvida é instilada. Esses dados chegam pouco antes do final da campanha, o que torna impossível qualquer explicação por parte do candidato. Foi isso que chamamos de “MacronLeaks”. A hashtag dotada com este nome foi transmitida massivamente no Redes sociaisRedes sociais E em particular por relatos pró-russos, extrema direita ou Trumpists. O WikiLeaks também contribuiu para sua propagação.
Este caso não teve conseqüências na eleição de Emmanuel Macron, mas seu curso dizia respeito aos serviços estaduais, em particular o ANSSI (Agência Nacional de Sistemas de Informação). O método utilizado, bem como certos elementos técnicos, orientou suspeita para a Rússia e mais precisamente para um grupo de hackers que já haviam tentado influenciar as eleições na Alemanha em 2016 para prejudicar a CDU ou a campanha eleitoral americana em benefício de Donald Trump, no mesmo ano.
Uma atribuição no final dos lábios
Se os especialistas concordassem que o Kremlin estava por trás dessas manobras, como sempre nas ações dos cibernéticos, a atribuição a um país permanece difícil de afirmar. Os anos se passaram e os negócios desse tipo se multiplicaram.
O Estado francês sempre respondeu sem realmente qualificar esse tipo de manobra como ações ofensivas da Rússia. E, no entanto, ontem, o ministro das Relações Exteriores francesas, Jean-Noël Barrot, pela primeira vez concedeu esses ataques ao Serviço de Inteligência Militar Russa (GRU) e, mais especificamente, a um grupo de hackers chamado Apt28. Na realidade, a partir dos primeiros ataques cibernéticos e tentativas de influências que visavam a França, as autoridades suspeitavam que o Kremlin estava na manobra. Mas tudo foi “colocado debaixo do tapete”, porque Emmanuel Macron tentou criar as condições favoráveis a uma aproximação entre a França e a Rússia por Vladimir Putin.
O ministro das Relações Exteriores francesas acusa claramente a Rússia de realizar uma guerra híbrida contra a França com um grupo de hackers ligados ao GRU. © @jnbarrot
APT: ameaça persistente avançada
Hoje, após três anos de guerra contra a Ucrânia, a situação mudou e a postura francesa também. A alocação dessas ações para o Gu via O grupo Apt28, de outra forma chamado de urso sofisticado, sofacia, EstrôncioEstrôncioou tempestade de peão, permanece complicada, mas a cumulation de pistas leva sistematicamente a esse grupo APT28.
ATPATP significa Ameaça persistente avançada (Ameaça persistente avançada). Esse é o nome genérico dado a qualquer grupo de hackers identificado pela repetição de ações que carregam sua “pata” pelas empresas de segurança cibernética. O número permite que eles sejam classificados. Existem adequados de todos os países, sejam cibercriminosos, hackers ou hackers vinculados e pilotados por estados.
Para a Rússia, além do APT28, outro grupo – chamado Apt29 – é conhecido. Por sua parte, ele age em nome do FSB (Serviço de Segurança Interior russo) e é especializado em roubo de dados. O que caracteriza a assinatura do apt28? Seus ataques geralmente começam com uma campanha direcionada de Phishing Spear: Depois de usurpado a identidade do alvo, os e -mails verolentes são enviados. É um ótimo clássico de hackers recuperar identificadores e entrar nos sistemas de computador de uma organização. Até então, nada permite que você faça um link, nem com a Rússia nem com o famoso GRU.
Alvos comuns com o Kremlin
Mas o que conecta o grupo à GU está acima de todos os seus alvos. O APT28 visa o exército, fabricantes de defesa, partidos políticos, instituições e infraestrutura crítica. Os alvos direcionados são sistematicamente aqueles que a inteligência militar russa e o Kremlin também têm na mira.
Assim, as campanhas de hackers realizadas pelo APT28 ainda coincidem com a chegada dos principais eventos políticos. É o caso das eleições presidenciais nos países europeus ou nos Estados Unidos, ou na Ucrânia, antes da invasão. Às vezes, eles atacam a mídia, como foi o caso em 2015 com uma campanha contra a TV5. Ela paralisou a corrente e descartou seus sites com uma mensagem exigente de um grupo jihadista para embaçar as trilhas. O objetivo era acima de tudo destacar essa ameaça ao público francês. Em todos os casos, o ataque cibernético permite coletar informações e explorá -las para realizar campanhas de influência destinadas a desestabilizar as instituições do país -alvo.
Após o anúncio francês, Anonymous explica que está lançando uma campanha de ataque contra o APT28. © @youranonfrench_
Elementos técnicos que se conectam ao GRU
O que dificulta atribuir esses ataques ao ATP28 e à Rússia é o lado puramente técnico. O APT28 também se distingue por seu método que deixa poucos traços. Em vez de usar sua própria infraestrutura, eles usam serviços disponíveis gratuitamente para todos, como VPNs ou serviços de acomodação baratos, como infinito ou rocky.io. Eles também usam malware conhecido, como Headlace ou OceanMap, que são usados especificamente para exfiltrar os dados. Por outro lado, o que lhes permite estar ligado ao GU nesses pontos é que os esquemas de ataque usados são semelhantes aos do serviço de inteligência em suas operações militares. Da mesma forma, como o diabo se esconde em detalhes, o apt28 geralmente folhas comprometendo elementos no código malicioso ou servidoresservidores de Comando e controle. Elementos do mesmo tipo que os do Gru com precisão …
Outro detalhe que conta, as grandes empresas de segurança cibernética (FireEye, Trend Micro, Crowdstrik …) estão à procura desse tipo de APT. No caso do APT28, o rastreamento das atividades geralmente se refere a Endereços IPEndereços IP e servidores associados a entidades russas. Não é suficiente para conectar o grupo diretamente com o Kremlin, mas a suspeita é adicionada ao restante. Finalmente, há também os erros de seus membros. Alguns deixaram fisicamente comprometer traços, sendo seguidos por membros dos serviços de inteligência em outros países. Evidências que os conectaram diretamente ao Gu como agente.
Com todos esses elementos reunidos por anos, mesmo o ANSSI, o órgão de segurança de rede de TI do governo francês, que geralmente está na reserva quando não tem evidências suficientes, diz que o APT28 está bem ligado ao GRU e que é o autor de cyberattacs muito regulares contra a França. As pesquisas foram até frutíferas, já que a organização afirmou que por trás do APT28 é a Unidade 20728 de 166e Centro de Pesquisa Informacional GRU. Uma unidade baseada em Rostov-Sur-Le-don, no sudoeste da Rússia. É a primeira vez que a França também é clara sobre esse assunto e é um sinal de uma mudança radical de postura diante da Rússia.
