Міністр внутрішніх справ Франції у п’ятницю офіційно підтвердив, що відомство зазнало кібератаки, внаслідок якої були скомпрометовані поштові сервери міністерства. Інцидент став черговим прикладом зростаючої кількості атак на критичну інфраструктуру державних установ європейських країн.
Деталі інциденту
Атаку виявили в ніч на п’ятницю 12 грудня. Зловмисники отримали доступ до деяких документів, проте офіційні особи поки не підтвердили факт викрадення даних.
У відповідь на інцидент міністерство посилило протоколи безпеки та контроль доступу до інформаційних систем, якими користуються співробітники відомства.
Висока цінність міністерства як цілі
Кібератака була спрямована безпосередньо на email-сервери Міністерства внутрішніх справ Франції — критично важливий елемент комунікаційної інфраструктури відомства. Поштові сервери зберігають та обробляють конфіденційну кореспонденцію між співробітниками міністерства, іншими державними органами та зовнішніми партнерами.
Компрометація таких систем потенційно може надати зловмисникам доступ до чутливої інформації, включаючи внутрішню переписку, документи з обмеженим доступом та дані про поточні операції відомства. Міністерство внутрішніх справ Франції відповідає за національну безпеку, правоохоронну діяльність та цивільний захист, тому будь-який витік даних може мати серйозні наслідки.
Розслідування та можливі мотиви
Французькі органи розпочали розслідування для встановлення походження та масштабів атаки. Міністр внутрішніх справ Лоран Нуньєс зазначив, що слідчі зараз розглядають кілька версій, зокрема іноземне втручання, активістів, які намагаються продемонструвати вразливості урядових систем, або кіберзлочинність.
«Кібератака справді мала місце. Зловмисник зміг отримати доступ до певної кількості файлів. Тому ми запровадили звичні процедури захисту», — заявив міністр внутрішніх справ Лоран Нуньєс у коментарі для RTL Radio.
«Це може бути іноземне втручання, це можуть бути люди, які хочуть кинути виклик владі та показати, що вони здатні отримати доступ до систем, а також це може бути кіберзлочинність. На даний момент ми не знаємо, що це таке».
Історія атак APT28 на Францію
У квітні Франція приписала масштабну хакерську кампанію, яка протягом останніх чотирьох років була спрямована на десяток французьких організацій, угрупованню APT28, яке раніше пов’язували з військовою частиною 26165 російської служби військової розвідки (ГРУ).
Згідно зі звітом Французького національного агентства з безпеки інформаційних систем (ANSSI), список французьких організацій, атакованих APT28, включає широкий спектр цілей: міністерські структури, місцеві органи влади та адміністрації, наукові організації, аналітичні центри, організації французької оборонної технологічної та промислової бази, аерокосмічні підприємства, а також структури в економічному та фінансовому секторі.
З 2021 року APT28 також неодноразово атакувало поштові сервери Roundcube в операціях, спрямованих передусім на викрадення «стратегічної розвідувальної інформації» від урядових, дипломатичних установ та аналітичних центрів Північної Америки та кількох європейських країн, включно з Францією та Україною.
Контекст зростаючих загроз
Цей інцидент відбувається на тлі загального зростання кількості кібератак на державні установи в Європі та світі. Урядові організації стають дедалі привабливішими цілями для різних груп зловмисників — від державних хакерів до кіберзлочинних угруповань.
Email-сервери залишаються однією з найбільш вразливих точок входу в корпоративні та урядові мережі. Атаки через фішинг, експлуатацію вразливостей поштового програмного забезпечення та компрометацію облікових записів продовжують бути ефективними векторами для зловмисників.
Французькі власті поки не повідомили про те, чи були викрадені якісь дані під час атаки, або чи вдалося зловмисникам закріпитися в мережі міністерства. Розслідування продовжується, і додаткова інформація має з’явитися після завершення первинного аналізу інциденту.
