Franse diplomatieke entiteiten doelwit van aan Rusland gekoppelde cyberaanvallen

Door de staat gesponsorde actoren met banden met Rusland zijn in verband gebracht met gerichte cyberaanvallen gericht op Franse diplomatieke entiteiten, aldus het informatiebeveiligingsagentschap ANSSI van het land in een advies.

De aanvallen zijn toegeschreven aan een cluster dat door Microsoft wordt gevolgd onder de naam Midnight Blizzard (voorheen Nobelium), dat overlapt met activiteiten die worden gevolgd als APT29, BlueBravo, Cloaked Ursa, Cosy Bear en The Dukes.

Hoewel de namen APT29 en Midnight Blizzard door elkaar worden gebruikt om te verwijzen naar inbraaksets die verband houden met de Russische Buitenlandse Inlichtingendienst (SVR), zei ANSSI dat het deze liever behandelt als ongelijksoortige dreigingsclusters naast een derde genaamd Dark Halo, die is vastgehouden verantwoordelijk voor de supply chain-aanval van 2020 via SolarWinds-software.

“Nobelium wordt gekenmerkt door het gebruik van specifieke codes, tactieken, technieken en procedures. De meeste campagnes van Nobelium tegen diplomatieke entiteiten maken gebruik van gecompromitteerde legitieme e-mailaccounts van diplomatiek personeel en voeren phishing-campagnes tegen diplomatieke instellingen, ambassades en consulaten”, aldus de woordvoerder. zei het agentschap.

Het is vermeldenswaard dat het aanvallen op diplomatieke entiteiten ook wordt gevolgd onder de naam Diplomatic Orbiter.

De aanvallen omvatten het verzenden van phishing-e-mails naar Franse publieke organisaties van buitenlandse instellingen en individuen die eerder door de bedreigingsacteur zijn gecompromitteerd om een ​​reeks kwaadaardige acties te initiëren.

“In mei 2023 waren verschillende Europese ambassades in Kiev het doelwit van een phishing-campagne uitgevoerd door exploitanten van Nobelium”, aldus het rapport. “De Franse ambassade in Kiev was een van de doelwitten van deze campagne, die werd gevoerd via een e-mail met als thema een ‘Diplomatieke auto te koop’.”

Een andere aanval die in dezelfde maand werd waargenomen en gericht was op de Franse ambassade in Roemenië was uiteindelijk niet succesvol, merkte ANSSI op.

Andere inbraken door de bedreigingsacteur hebben gebruik gemaakt van beveiligingsfouten in JetBrains TeamCity-servers als onderdeel van een opportunistische campagne. De afgelopen maanden is het ook in verband gebracht met inbreuken op Microsoft en Hewlett Packard Enterprise (HPE).

“Het aanvallen van IT- en cyberbeveiligingsentiteiten voor spionagedoeleinden door Nobelium-exploitanten versterkt mogelijk hun offensieve capaciteiten en de dreiging die zij vertegenwoordigen”, aldus het agentschap. “De informatie die is verzameld tijdens recente aanvallen op entiteiten uit de IT-sector zou ook de toekomstige activiteiten van Nobelium kunnen vergemakkelijken.”

De onthulling komt op het moment dat Polen onthulde dat Russische hackers achter de DDoS-aanval op Telewizja Polska (TVP) zouden kunnen zitten, die leidde tot de verstoring van een online uitzending van het Euro 2024-voetbaltoernooi op 16 juni 2024.

Thijs Van der Does