L'Agence nationale de la sécurité des systèmes d'information (Anssi) alerte au sujet d'une " vaste campagne de compromission touchant de nombreuses entités françaises. " L'identité de ces dernières n'est pas précisée.
Cette alerte s'accompagne de la publication d'indicateurs de compromission en lien avec plus de 160 adresses IP. Elles correspondent notamment à des routeurs compromis par les attaquants qui sont utilisés comme des relais d'anonymisation.
" Il ressort de nos investigations que l'acteur de la menace utilise un réseau de routeurs domestiques compromis comme box de relais opérationnelles afin d'effectuer des reconnaissances furtives ainsi que des attaques ", écrit l'Anssi.
Le mode opératoire de APT31
Les attaques sont toujours en cours et chose rare, l'Anssi n'hésite pas à émettre une attribution en faisant clairement allusion au mode opératoire du groupe APT31. L'attribution ne va pas plus loin, sachant néanmoins que le groupe APT31 est proche de la Chine.
En début de semaine, le Conseil de l'Union européenne a dénoncé des actes de cybermalveillance pouvant être liés aux groupes APT40 et APT31, et qui ont été menés depuis la Chine à des fins de vol de propriété intellectuelle et d'espionnage.
La communication européenne s'inscrivait dans le cadre des accusations publiques des États-Unis et de ses alliés contre la Chine et la cyberattaque de mars qui avait touché des serveurs Microsoft Exchange. L'alerte de l'Anssi est néanmoins différente du cas de cette cyberattaque.
