Des Russes tentent d’exploiter la vente d’une BMW 5 pour pirater des diplomates en Ukraine

Des diplomates basés en Ukraine ont été la cible de nombreuses tentatives de la part de la Russie pour compromettre leurs systèmes informatiques.

L’une de ces dernières visait les émissaires de 22 pays, dont le Canada et les États-Unis, avec une méthode inattendue : profiter de l’offre d’un diplomate polonais de vendre une berline BMW Série 5 d’occasion.

Selon des chercheurs du service de renseignement sur les menaces Unit 42 de Palo Alto Networks, en avril, un diplomate du ministère polonais des Affaires étrangères a envoyé par courrier électronique un document à diverses ambassades annonçant la vente de sa BM avec 266 000 km au compteur.

Apparemment, cela aurait été repéré par un gang que Palo Alto Networks appelle Cloaked Ursa (que d’autres chercheurs appellent APT29, UAC-0029, Cozy Bear, Nobelium ou, selon la nouvelle nomenclature de Microsoft, Midnight Blizzard). Les États-Unis et le Royaume-Uni affirment que ce groupe fait partie du service de renseignement étranger russe, connu sous le nom de SRV.

Deux semaines après l’envoi de ce courriel, Cloaked Ursa a en envoyé une autre version à plusieurs missions diplomatiques à travers Kiev, indiquant que le prix avait été réduit. Cependant, toute personne ayant cliqué sur le lien proposant « plus de photos de haute qualité » serait plutôt allée sur un site Web légitime mais compromis contenant des images. Ces images sont en fait des fichiers de raccourcis Windows se faisant passer pour des fichiers image PNG. Les tentatives d’affichage des photos entraînent le téléchargement de logiciels malveillants en arrière-plan. Cela a conduit à des communications vers un serveur de commande et de contrôle.

Selon le rapport, les tentatives de ce cybercriminel sont généralement plus subtiles, le harponnage se concentrant sur les Notes verbales (des communications diplomatiques semi-formelles de gouvernement à gouvernement), les invitations aux événements des ambassades et les mises à jour sur le fonctionnement des ambassades.

La plupart des courriels de cette campagne sont allés dans les boîtes de réception générales des ambassades. Quelques-uns sont allés à des personnes ciblées.

Cependant, l’envoi d’un courriel à plus de 22 ambassades « a une portée stupéfiante pour ce qui est généralement des opérations cybercriminelles clandestines de faible portée », disent les chercheurs.

« Bien que nous n’ayons pas de détails sur leur taux de réussite d’infection, il s’agit d’un chiffre vraiment étonnant pour une opération clandestine menée par un cybercriminel persistant. »

Les missions diplomatiques seront toujours une cible d’espionnage de grande valeur, indique le rapport. « Seize mois après le début de l’invasion russe de l’Ukraine, les renseignements entourant l’Ukraine et les efforts diplomatiques alliés sont presque certainement une priorité élevée pour le gouvernement russe. »

« Comme le montrent les campagnes ci-dessus, les diplomates doivent comprendre que les cybercriminels modifient continuellement leurs approches – y compris par le biais du harponnage – pour améliorer leur efficacité. Ils saisiront toutes les occasions d’inciter les victimes à une compromission. L’Ukraine et ses alliés doivent rester extrêmement vigilants face à la menace de cyber espionnage, afin d’assurer la sécurité et la confidentialité de leurs informations. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

 

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Les administrateurs invités à corriger rapidement les failles du serveur de transfert de fichiers WS_FTP

Un autre ensemble de vulnérabilités critiques a été découvert dans une application de transfert de fichiers, ce qui fait craindre que, si elle est exploitée avant d'être corrigée, il entraînera également un grand nombre de violations de données.

Plus de pièces jointes malveillantes trouvées par des chercheurs

Les pièces jointes restent un moyen efficace de diffuser des logiciels malveillants tant et aussi longtemps que les travailleurs manquent les indices vitaux. Deux exemples détaillés par des chercheurs de Fortinet démontrent les dernières techniques des cybercriminels qui peuvent être présentées au personnel dans le cadre d'une formation de sensibilisation à la sécurité.

Corrigez ces vulnérabilités dans des produits VMware et Cisco

Les administrateurs de VMware et de certains appareils de Cisco Systems sont prévenus d'installer des correctifs dès que possible pour corriger des vulnérabilités graves.

Google va ajouter des contrôles de sécurité plus granulaires à Workspace

Google améliorera bientôt ses capacités automatisées de protection des données basées sur l'intelligence artificielle (IA) dans sa suite de productivité Workspace pour les organisations stockant des données dans Google Drive.

Les escroqueries liées aux courriels professionnels deviennent de plus en plus sophistiquées, selon un rapport

Les escroqueries par messagerie qui tentent d’inciter les employés à effectuer des transactions risquées continuent d’affliger les organisations.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.