English version : 🇬🇧

 

En janvier 2021, l’ANSSI est informée d’une vaste campagne d’attaques à l’encontre d’entités françaises liée au mode opératoire d’attaque (MOA) APT31.

Les investigations réalisées par l’ANSSI ont permis d’analyser l’ensemble de la chaîne de compromission du mode opératoire. La connaissance acquise permet de suivre les activités malveillantes afin d’agir en prévenant des compromissions, et en réaction, en découvrant des victimes déjà compromises.

Une particularité de ce mode opératoire réside dans l’utilisation d’une infrastructure d’anonymisation constituée d’un ensemble de routeurs compromis organisés sous la forme d’un réseau maillé. Ce dernier est orchestré à l’aide d’un code malveillant baptisé Pakdoor par l’ANSSI.

Il n’a pas été possible de mettre en évidence de critères de ciblage du MOA, qu’ils soient sectoriels ou thématiques. Il est possible d’émettre l’hypothèse que le mode opératoire ait une démarche opportuniste d’intrusion sur des systèmes d’information d’entités françaises, avant d’exploiter les accès obtenus selon ses besoins.

Faisant suite à la publication sur le site du CERT-FR le 21 juillet 2021 d’indicateurs de compromission liés à cette campagne (CERTFR-2021-IOC-003), deux rapports ont été produits. Le premier présente les informations techniques liées à cette campagne d’attaque : la chaîne d’infection (section 1), l’analyse de l’infrastructure d’attaque (section 2) et la victimologie observée (section 3).

 

Télécharger le rapport : Campagne APT31

 

Le second décrit le fonctionnement de Pakdoor et de ses différents composants.

 

Télécharger le rapport : Pakdoor