La unidad de hackers APT 28, también llamada Fancy Bear y sospechosa de estar vinculada a los servicios de inteligencia militar rusos (GRU), está acusada de haber llevado a cabo varias operaciones de espionaje contra entidades francesas desde la segunda mitad del año 2021, según un nuevo informe. Informe presentado el jueves 26 de octubre por la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi).
Aunque la agencia no quiso proporcionar más detalles sobre las víctimas, el informe cita “entidades gubernamentales, empresas, universidades, así como institutos de investigación y think tanks”. Él informa alrededor de quince «informes» desde el segundo semestre de 2021, precisando que cada uno de ellos puede reunir numerosas víctimas.
Una vulnerabilidad de Outlook explotada
APT 28 es una de las siglas más notorias de su sector. Esta unidad del GRU es sospechosa de estar implicada, desde la década de 2010, en un gran número de operaciones de espionaje o desestabilización, incluida la dirigida al Partido Demócrata estadounidense durante las elecciones presidenciales de 2016. También se sospecha que el grupo es uno de los dos actores rusos – con la unidad llamada Sandworm – haber atacado la campaña de Emmanuel Macron en 2017 en el marco de “MacronLeaks”, en particular mediante la creación de campañas de phishing.
En su informe, Anssi vuelve a subrayar la utilización de este tipo de métodos por parte del grupo durante los dos últimos años, con el objetivo de piratear los sistemas de mensajería, permitiendo en particular la filtración de datos confidenciales. La agencia destaca el uso por parte de APT 28 de varias fallas de seguridad, incluida una importante utilizada para atacar los mensajes de Outlook (Microsoft) y explotada entre marzo de 2022 y junio de 2023 por el grupo.
Un informe anterior, publicado por la editorial Kaspersky, reveló que este fallo de seguridad había sido utilizado, desde marzo de 2022, para atacar a organizaciones estatales o empresas del sector militar y energético en todo el mundo, particularmente en Ucrania y Polonia. Un fallo tanto más peligroso cuanto que evitaba la doble autenticación, una protección esencial en los mensajes de las entidades más sensibles.