Skip to content
Cyber Breaches
Recherche
EspionnageRésolu

Intrusion dans le Bundestag allemand (APT28)

L'unité 26165 du GRU russe (APT28 / Fancy Bear) a compromis le réseau parlementaire du Bundestag, exfiltrant ~16 Go de données dont des courriels du bureau parlementaire de la chancelière Merkel. A contraint à une reconstruction complète du parc informatique du Bundestag.

Victime
Deutscher Bundestag (parlement fédéral allemand)
Perte
$22.0M
utilisateurs
5.5K
SecteurGouvernement
PaysAllemagne
GroupeAPT28Fancy BearSofacyGRU Unit 26165

En mai 2015, le Bundestag allemand — le parlement fédéral de l'Allemagne — a découvert que des opérateurs d'APT28 / Fancy Bear avaient compromis son réseau parlementaire. Au moment où les services de cyberdéfense allemands ont réagi, les opérateurs avaient récupéré environ 16 Go de courriels et de données documentaires, dont la correspondance du bureau parlementaire de la chancelière Angela Merkel, de dirigeants de l'opposition et du personnel des commissions parlementaires.

L'opération a contraint à une reconstruction complète du parc informatique du Bundestag pour un coût d'environ 17 millions d'euros. C'est l'incident de cyberespionnage étatique européen le plus cité des années 2010 et un moment décisif dans la posture de cyberdéfense de l'Allemagne.

Ce qui s'est passé

Les opérateurs d'APT28 — évalués par les services de renseignement allemands, américains et britanniques comme étant l'unité 26165 du GRU russe (distincte de l'unité Sandworm 74455 qui a mené NotPetya et les opérations destructrices contre les Jeux olympiques) — ont lancé une campagne de spearphishing contre le personnel du Bundestag fin avril 2015. Les leurres faisaient référence à des sujets de sanctions de l'ONU d'intérêt contemporain, avec des pièces jointes Word malveillantes contenant des charges utiles Sofacy / X-Agent.

Au moins un membre du personnel du Bundestag a ouvert la pièce jointe, déployant un implant Sofacy sur son poste de travail. À partir de là, les opérateurs ont :

  • Récupéré les identifiants de domaine à l'aide d'outils standard de type Mimikatz adaptés à la boîte à outils d'APT28 du GRU.
  • Obtenu les privilèges d'administrateur de domaine sur le réseau parlementaire du Bundestag en quelques jours.
  • Établi un accès persistant sur environ 14 serveurs, dont l'infrastructure de messagerie et documentaire.
  • Exfiltré environ 16 Go de données sur plusieurs semaines, en se concentrant principalement sur les archives de courriels des parlementaires de premier plan et du personnel des commissions.

Les données comprenaient :

  • La correspondance par courriel du bureau parlementaire de la chancelière Angela Merkel (distincte de l'informatique de sa chancellerie, mais contenant un volume important de documents recoupant celle-ci).
  • Les communications de dirigeants de l'opposition, dont la correspondance des groupes parlementaires SPD et Linke.
  • Des documents de commissions parlementaires, dont des documents de politique étrangère et de contrôle du renseignement.
  • Des notes de travail et des positions provisoires de plus de 5 500 parlementaires et membres du personnel.

Détection et reconstruction

Le personnel informatique du Bundestag a détecté un trafic anormal le 8 mai 2015 mais en a sous-estimé l'ampleur. Au 12 mai, l'Office fédéral de la sécurité des technologies de l'information (BSI) et l'Office fédéral de protection de la Constitution (BfV) allemands étaient intervenus et avaient reconnu l'ampleur totale de la compromission.

La décision de réponse allemande était inhabituelle par son ampleur : plutôt que de tenter d'évincer les opérateurs tout en maintenant la continuité opérationnelle, le Bundestag a choisi de reconstruire à neuf l'ensemble du parc informatique parlementaire. Au cours de l'été 2015 :

  • Tous les postes de travail ont fait l'objet d'une imagerie forensique et d'une reconstruction.
  • Tous les serveurs ont été remplacés ou entièrement effacés et réinstallés.
  • L'architecture réseau a été repensée avec segmentation et contrôles d'accès plus stricts.
  • Les identifiants ont été renouvelés de manière exhaustive.

Le coût : environ 17 millions d'euros. La reconstruction a été achevée à l'automne 2015, le réseau parlementaire revenant en pleine activité en octobre.

Attribution et mise en accusation

En mai 2020 — cinq ans après l'opération — l'Office fédéral de police criminelle (BKA) allemand a émis un mandat d'arrêt contre Dmitri Sergeyevich Badin, un ressortissant russe identifié comme officier de l'unité 26165 du GRU. Ce mandat était le tout premier émis par les autorités allemandes pour une opération de cyberespionnage étatique.

En octobre 2020, le Conseil de l'UE a adopté des sanctions cyber à l'encontre de Badin et de deux autres officiers du GRU (Aleksey Morenets, Yevgeniy Serebriakov) au titre du régime de sanctions cyber de l'UE. Ces mêmes officiers russes avaient été précédemment nommés dans l'acte d'accusation Mueller américain de 2018 pour le piratage du DNC et dans la divulgation de 2018 du renseignement néerlandais d'une tentative d'intrusion du GRU contre l'Organisation pour l'interdiction des armes chimiques (OIAC) à La Haye.

L'attribution à l'unité 26165 du GRU est significative sur le plan opérationnel : elle place l'opération contre le Bundestag au sein du même groupe APT28 / Fancy Bear responsable de :

  • Intrusions dans le DNC et le DCCC (2016, États-Unis)
  • Attaque contre TV5Monde (2015, France, se faisant passer pour l'État islamique)
  • Tentative de spearphishing contre l'OIAC (2018, Pays-Bas)
  • Fuites de l'Agence antidopage (2016, AMA)

Impact

  • ~16 Go de courriels et de données documentaires exfiltrés, dont la correspondance de parlementaires de premier plan.
  • 17 millions d'euros de coûts de remédiation pour la reconstruction complète du parc informatique.
  • Aucune divulgation publique des données exfiltrées — ce qui distingue l'opération contre le Bundestag de l'opération contre le DNC qui a suivi, où les données divulguées ont été publiées de manière sélective via WikiLeaks pendant la campagne américaine de 2016.
  • L'investissement ultérieur de l'Allemagne en cybersécurité s'est considérablement étendu ; le budget et l'autorité du BSI se sont sensiblement accrus dans la réforme fédérale de cybersécurité de 2016-2018.

Pourquoi c'est important

L'opération contre le Bundestag est le cas canonique de cyberespionnage étatique européen et l'exemple le plus cité d'opérations du GRU contre des institutions démocratiques de l'UE. Elle a établi :

  • Que les réseaux parlementaires de l'UE étaient des cibles attrayantes pour le cyberespionnage étatique russe. Le Bundestag a été suivi d'opérations similaires contre l'élection législative française (2017), le Sénat italien (soupçonné, non divulgué) et les réseaux du personnel de l'OSCE.
  • Que la reconstruction complète du réseau est une stratégie de remédiation viable pour les compromissions majeures de cyberespionnage étatique, à condition de disposer d'un soutien politique et budgétaire. Le précédent de la reconstruction du Bundestag a été cité dans des décisions ultérieures au Storting norvégien (2020) et ailleurs.
  • Que les sanctions cyber coordonnées de l'UE constituent un outil de politique crédible. Les désignations de l'UE de 2020 visant Badin et ses collègues étaient les toutes premières sanctions cyber jamais émises par l'UE et ont établi le modèle pour les actions ultérieures de l'UE.
  • Que la capacité fédérale allemande de cybersécurité s'est considérablement développée depuis 2015. L'opération contre le Bundestag est l'événement déclencheur le plus cité dans l'établissement du rôle de coordination de cybersécurité fédérale du BSI et de l'expansion ultérieure de l'Office fédéral de la sécurité des technologies de l'information.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
22.0M
USD · 22 000 000 $US
  • Perte d’exploitation$5.0M
  • Remédiation$17.0M

Chronologie

  1. Les opérateurs d'APT28 envoient des courriels de spearphishing au personnel du Bundestag avec des pièces jointes malveillantes faisant référence à des sujets de sanctions de l'ONU. Au moins un membre du personnel ouvre la pièce jointe, déployant un implant Sofacy.

  2. Les opérateurs établissent une persistance et obtiennent les privilèges d'administrateur de domaine sur le réseau parlementaire du Bundestag.

  3. Le personnel informatique du Bundestag détecte un trafic anormal. L'enquête initiale sous-estime l'ampleur.

  4. Le centre de cyberdéfense (BfV allemand) et le BSI interviennent. L'ampleur totale de la compromission devient manifeste : ~14 serveurs compromis, ~16 Go de courriels et de données exfiltrés.

  5. Le Bundestag confirme publiquement la cyberattaque. Les courriels divulgués comprennent la correspondance du bureau parlementaire de la chancelière Angela Merkel, des dirigeants de l'opposition et du personnel des commissions.

  6. L'ensemble du parc informatique parlementaire du Bundestag est mis hors ligne et reconstruit à neuf. La remédiation coûte environ 17 millions d'euros.

  7. L'Office fédéral de police criminelle allemand (BKA) émet un mandat d'arrêt contre le ressortissant russe Dmitri Sergeyevich Badin, officier de l'unité 26165 du GRU, pour l'intrusion dans le Bundestag.

  8. Le Conseil de l'UE adopte des sanctions cyber à l'encontre de Badin et de deux autres officiers du GRU (Aleksey Sergeyvich Morenets, Yevgeniy Mikhaylovich Serebriakov) pour l'opération contre le Bundestag et d'autres activités d'APT28.

Sources

  1. bundestag.dehttps://www.bundestag.de/dokumente/textarchiv/2015/kw20_pa_innen_cyber_angriff-374176
  2. bka.dehttps://www.bka.de/SharedDocs/Pressemitteilungen/DE/Presse2020/Presse2020_Kurzmeldungen/200505_HaftbefehleAPT28.html
  3. zeit.dehttps://www.zeit.de/digital/datenschutz/2015-06/bundestag-hack-trojaner-it

Incidents liés

EspionnageContenu

Attaque contre le réseau électrique ukrainien — Sandworm BlackEnergy (2015)

Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.

Victim
Distributeurs régionaux d'électricité ukrainiens (oblenergos)
EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)