Negli ultimi mesi, le entità diplomatiche in Francia sono state oggetto di una serie di attacchi cyber condotti da attori statali con legami con la Russia come APT29 e Nobellium. I report di ANSSI (Agenzia Nazionale della Sicurezza dei Sistemi Informativi) e CERT-FR (Computer Emergency Response Team) hanno dettagliato le tattiche, tecniche e procedure utilizzate da questi gruppi, rivelando un quadro preoccupante delle attività di spionaggio informatico dirette verso la Francia.
Nobelium e Midnight Blizzard: Chi Sono?
Nobelium, noto anche come Midnight Blizzard, è un gruppo di cyber attacco sponsorizzato dallo Stato russo, noto anche come APT29 e Cozy Bear, legato al Servizio di Intelligence Estera della Russia (SVR). Questo gruppo è stato responsabile dell’attacco alla supply chain di SolarWinds nel 2020 e di numerose altre campagne di spionaggio mirate contro entità diplomatiche e governative.
Attività Recenti
Gli attacchi recenti attribuiti a Nobelium includono l’uso di email di phishing inviate da account compromessi di personale diplomatico per colpire organizzazioni pubbliche francesi. Ad esempio, nel maggio 2023, diverse ambasciate europee a Kyiv sono state bersaglio di una campagna di phishing condotta da Nobelium. L’ambasciata francese a Kyiv è stata una delle vittime, ricevendo email con l’esca di una “vendita di auto diplomatica”.
Un altro attacco, sempre nel maggio 2023, ha preso di mira l’ambasciata francese in Romania, ma è stato respinto con successo.
Obiettivi e tecniche
Nobelium utilizza una varietà di strumenti e infrastrutture per eseguire i suoi attacchi, tra cui:
- Phishing con Account Compromessi: Utilizzo di email di phishing inviate da account compromessi per infiltrarsi nelle reti delle vittime.
- JetBrains TeamCity: Sfruttamento delle vulnerabilità nei server di JetBrains TeamCity.
- Strumenti di Accesso Remoto: Tentativi di implementare strumenti come Cobalt Strike per ottenere l’accesso remoto ai sistemi bersaglio.
ANSSI ha osservato che le tecniche impiegate da Nobelium, come la creazione di documenti esca falsificati e la persistenza degli attacchi, indicano che il gruppo opera quasi certamente per conto di uno Stato.
Implicazioni per la Sicurezza Nazionale
Le attività di spionaggio di Nobelium rappresentano una seria minaccia per la sicurezza nazionale della Francia. Gli attacchi mirati contro entità diplomatiche e IT potrebbero rafforzare le capacità offensive di Nobelium, facilitando operazioni future. La raccolta di informazioni durante gli attacchi recenti contro il settore IT potrebbe fornire a Nobelium un vantaggio strategico nei confronti delle sue future operazioni.
Contesto Storico e Politico
Le tensioni tra Francia e Russia non sono una novità. In passato, la Francia ha già affrontato campagne di disinformazione e attacchi cyber da parte della Russia. Nel 2017, la campagna elettorale del presidente Emmanuel Macron è stata presa di mira da attacchi informatici russi che hanno cercato di influenzare l’elettorato francese, sebbene senza successo significativo.
Recentemente, il ministro degli Affari Europei della Francia, Jean-Noel Barrot, ha accusato la Russia di aver orchestrato una campagna di disinformazione per destabilizzare il governo francese.
Le recenti rivelazioni sui cyber attacchi russi contro la Francia sottolineano la necessità di una vigilanza continua e di misure di sicurezza rafforzate. Gli attacchi sponsorizzati dallo Stato, come quelli condotti da Nobelium, rappresentano una minaccia significativa non solo per la sicurezza nazionale, ma anche per la stabilità politica e la fiducia pubblica.
