Mon petit résumé par élément-clé de l'affaire...
Le groupe attaquant : il s'agit d'un APT russe (Advanced Persistent Threat, une organisation dont les attaques visent à établir un accès illégitime continu à un système, et qui agissent généralement en lien avec des États). Son nom est APT28, aussi connu sous les sobriquets de "Strontium" ou de "Fancy Bear". Ils sont considérés comme faisant partie intégrante du renseignement militaire russe.
L'attaque : elle commence (comme toujours) par une reconnaissance, menée à partir de bases de données fuitées précédemment et de brute-forcing, afin d'obtenir les identifiants nécessaires à une intrusion dans le réseau visé.
L'accès initial a été gagné par une campagne de phishing, qui a permis d'exploiter ce qui était alors une faille 0-day dans Outlook. S'ensuit une collecte de données à plus large échelle par le biais de services légitimes et moins susceptibles d'être repérés (comme OneDrive ou GoogleDrive).
Les lanceurs d'alerte : c'est l'ANSSI qui a repéré les agissements du groupe et détaillé leur mode opératoire. Ils ne donnent pas d'indice sur les structures attaquées, mais des recommandations générales pour toute organisation, visant à s'assurer de la confidentialité des échanges, notamment par mail.
Un article de Bill Toulas dans Bleeping Computer :
https://www.bleepingcomputer.com/news/security/france-says-russian-state-hackers-breached-numerous-critical-networks/?utm_source=dlvr.it&utm_medium=mastodon
