Des hackers d’État attaquent des partis allemands

Ce que les analystes ont observé à partir du 26 février était quelque chose qu’ils n’avaient jamais vu auparavant. Le cybergroupe russe APT 29, attribué au service de renseignement étranger SWR, envoie un e-mail de phishing en allemand. Les cibles de l’attaque d’espionnage sont les partis allemands.

Les deux sont nouveaux, le langage et le but la société de sécurité informatique Mandiant dans un rapport écrit. Le groupe APT 29, également connu sous le nom de Cozy Bear, s’intéresse avant tout à l’information diplomatique. Dans le passé, il a souvent utilisé ses actions pour espionner les ministères des Affaires étrangères, les ambassades ou les diplomates.

Par exemple, lorsque l’Ukraine a lancé sa contre-offensive tant attendue en mai 2023, l’APT 29 a ciblé un grand nombre de missions diplomatiques à Kiev, y compris des alliés de la Russie. Ça venait Laut Mandiant probablement pour soutenir le SWR avec des informations sur cette phase importante de la guerre. Au cours d’une campagne, l’APT 29 a tenté d’attirer des diplomates étrangers en Ukraine vers un site Web infecté contenant une fausse publicité pour une BMW.

L’e-mail était adressé à plusieurs parties allemandes

Dans le cadre de la vague de phishing que Mandiant rend désormais publique, l’APT 29 a envoyé une fausse invitation de la CDU à un dîner le 1er mars. L’e-mail contient une demande de remplissage d’un questionnaire et des liens vers le site Web de l’attaquant. À partir de là, une tentative a été faite pour installer un logiciel malveillant sur l’ordinateur de la personne cible. Le texte allemand de l’e-mail est rédigé de manière quelque peu maladroite.

Le fait que le texte soit rédigé en allemand en dit long sur le but de l’opération d’espionnage. Alors que les premiers e-mails étaient adressés au corps diplomatique international avec leurs textes en anglais, ici, des hommes politiques ou des représentants de partis allemands sont évidemment la cible d’espions russes. Selon Mandiant, les destinataires du courrier électronique appartiennent à plusieurs partis allemands. Interrogée, la société de sécurité n’a pas voulu dire exactement laquelle. Mais il est clair que l’accent n’était pas uniquement mis sur la CDU.

Les informations exactes recherchées par APT 29 ne sont pas non plus claires. “Nous ne pouvons pas dire de manière définitive ce qui devrait être réalisé avec l’opération dans son ensemble”, déclare Dan Black de Mandiant à la NZZ. Cependant, il est difficile d’imaginer que le SWR ait voulu obtenir des informations confidentielles pour ensuite les publier dans le cadre d’une soi-disant campagne de hack-and-leak visant à susciter l’opinion publique. En mars, une opération d’information russe a fait sensation en Allemagne, au cours de laquelle une conversation sur écoute entre officiers de la Bundeswehr a été publiée.

Au lieu de cela, APT 29 est considéré comme un groupe qui pense à très long terme. “Lorsqu’ils s’introduisent dans un réseau informatique, ils veulent le comprendre afin de pouvoir y revenir plus tard”, explique l’analyste Black. Dans le passé, l’APT 29 a souvent mené des opérations extrêmement complexes. L’attaque contre la société de logiciels Solarwinds est bien connue, au cours de laquelle les espions russes ont réussi à pénétrer en 2020 dans plusieurs réseaux bien protégés de l’administration fédérale américaine à l’aide d’une mise à jour logicielle manipulée.

La nouvelle cible de l’APT 29 reflète l’intérêt du Kremlin

Ce n’est pas un hasard si les services de renseignement extérieurs russes s’intéressent désormais à des partis individuels. Il n’y a actuellement pas de tâche plus importante pour les services de renseignement russes en dehors de l’Ukraine que d’observer la dynamique politique en Occident, estime l’analyste Black de Mandiant. Le groupe APT 29 est très flexible et s’adapte aux points chauds de la politique russe. “Si l’APT 29 a un nouvel objectif, cela reflète parfaitement l’intérêt des autorités supérieures pour le gouvernement russe.”

Compte tenu du débat allemand sur le soutien à l’Ukraine, l’intérêt de la Russie semble tout à fait logique. L’action prudente du chancelier Olaf Scholz et les critiques de la CDU à l’égard du gouvernement font le jeu de la Russie. Pour le Kremlin, il est donc primordial de savoir quelles positions prévalent au sein des partis.

Mais les activités des services secrets étrangers russes ne se limiteront probablement pas à l’avenir aux seuls partis en Allemagne. Sur la base d’observations précédentes, Mandiant suppose que l’APT 29 pourrait également attaquer des partis ou des organisations non gouvernementales dans d’autres pays. Dans de nombreux États occidentaux, les discussions politiques intérieures sur l’Ukraine intéresseront probablement Moscou.