De TV5Monde al Gobierno: Francia culpa a la APT28 rusa de ciberataques

Francia acusa al grupo ruso de hackers APT28 (Fancy Bear) de atacar a entidades del gobierno francés en una campaña de ciberespionaje. Infórmese sobre los ataques, tácticas e incidentes previos vinculados al GRU, como el hackeo a TV5Monde.

Francia ha acusado al grupo de piratería informática APT28 , respaldado por el Estado ruso y vinculado a la agencia de inteligencia militar rusa GRU (Dirección General de Inteligencia del Estado Mayor Ruso), de atacar o comprometer a una docena de organizaciones gubernamentales y otras organizaciones francesas.

Activo desde al menos 2004 bajo nombres como BlueDelta, Fancy Bear, Forest Blizzard, Sednit y Sofacy, APT28 generalmente apunta a gobiernos, ejércitos, energía y medios de comunicación en Europa y Estados Unidos.

Ahora, un informe de la agencia francesa de ciberseguridad ANSSI ha atribuido los recientes ataques a organizaciones locales de gobierno, administración, defensa, aeroespacial, investigación, finanzas y grupos de expertos franceses a APT28.

Estos ataques, dirigidos principalmente a entidades gubernamentales, diplomáticas y de investigación en 2024, utilizaron phishing, explotación de vulnerabilidades y ataques de fuerza bruta para el acceso inicial, a menudo apoyándose en una infraestructura subcontratada y de bajo costo.

Esta infraestructura, según el informe de ANSSI (PDF), incluye servidores alquilados, servicios de alojamiento gratuitos, VPN (redes privadas virtuales) y direcciones de correo electrónico temporales. Este enfoque proporciona flexibilidad y mejora su capacidad para pasar desapercibidos.

ANSSI observó que APT28 atacaba los servidores de correo electrónico de Roundcube para distribuir la puerta trasera HeadLace , utilizaba el ladrón OceanMap y realizaba campañas de phishing contra usuarios de UKR.NET y Yahoo, empleando enrutadores comprometidos y otros métodos para ocultar su infraestructura.

El Ministerio para Europa y de Asuntos Exteriores de Francia condenó enérgicamente el uso de APT28 por parte de Rusia, destacando los ataques anteriores a los Juegos Olímpicos de 2024 y el intento de interferencia en las elecciones de 2017. Hizo hincapié en que tales acciones violan las normas de la ONU sobre comportamiento estatal responsable en el ciberespacio y se comprometió a contrarrestar las actividades cibernéticas maliciosas de Rusia.

“Francia condena en los términos más enérgicos la utilización por parte del servicio de inteligencia militar ruso del grupo de ataque APT28, origen de varios ciberataques contra intereses franceses”, se lee en el comunicado del Ministerio de Asuntos Exteriores francés.

Hackread.com ha estado siguiendo las actividades de APT28, y un informe previo lo vincula con un ciberataque de 2015 contra TV5Monde. Inicialmente, el ataque se atribuyó a un grupo que se hacía pasar por militantes de ISIS/ISIL, conocido como " CyberCaliphate ", quienes se atribuyeron la responsabilidad publicando mensajes a favor de ISIS en las redes sociales de la emisora ​​y bloqueando temporalmente su canal de televisión global.

Sin embargo, investigaciones posteriores revelaron direcciones IP coincidentes y técnicas utilizadas por APT28, lo que llevó a las autoridades francesas y a expertos en ciberseguridad a sospechar de la participación del gobierno ruso.

Un ciberataque similar tuvo como objetivo la transmisión en vivo de la BBC en abril de 2015. Sin embargo, aún no está claro si el gobierno británico vinculó el incidente con APT28 o reconoció sus tácticas de suplantación de identidad.

Sin embargo, este patrón de actividad selectiva indica la persistente amenaza de APT28 para Francia y otras naciones. También sugiere esfuerzos para recopilar inteligencia estratégica e influir en la percepción pública de la sociedad francesa.