Guerre en Ukraine : les pirates informatiques s’attaquent à la crise des réfugiés

Des cyberattaques ont été lancées contre des organisations et des personnes aidant les réfugiés qui tentent de quitter l’Ukraine. Selon des chercheurs américains en cybersécurité, certaines pourraient avoir été menées par un groupe de pirates lié à la Biélorussie et les attaquants ont accès à un compte de messagerie d’au moins un officier militaire ukrainien.

En début de semaine, des attaques de phishing ont été lancées sur des cibles à travers l’Ukraine, prétendant provenir des services de sécurité du pays, le SBU, et proposant des informations sur les plans d’évacuation. Le gouvernement ukrainien a émis un avertissement indiquant qu’il s’agissait d’un faux et que les documents liés dans les courriels étaient en fait des logiciels malveillants. Forbes a obtenu une capture d’écran de l’un des e-mails de phishing, envoyé à un compte Gmail et accompagné d’un avertissement de Google indiquant que « des messages similaires ont été utilisés pour voler les informations personnelles de personnes ». Les messages demandaient des plans d’évacuation, selon le SBU, et contenaient une lettre jointe, jugée par la suite contenir un logiciel malveillant. Des chercheurs de la société de sécurité Internet ESET, basée en Slovaquie, ont par la suite déclaré à Forbes qu’il s’agissait d’un malware basé sur le logiciel Remote Utilities de Microsoft pour Windows, permettant un accès extérieur aux ordinateurs. « L’échantillon est récent, mais le malware lui-même n’est pas si sophistiqué », a déclaré un porte-parole d’ESET.

Mercredi, les chercheurs de la société de cybersécurité américaine Proofpoint ont confirmé que différentes attaques de phishing « sur le thème de l’évacuation » visaient une entité gouvernementale européenne non nommée. Les chercheurs en sécurité de Proofpoint ont examiné des e-mails envoyés par une adresse se terminant par @ukr[.]net, un « compte de messagerie d’un membre des services armés ukrainiens probablement compromis ». Les e-mails, qui ciblaient « le personnel du gouvernement européen impliqué dans la gestion de la logistique des réfugiés fuyant l’Ukraine », comportaient l’objet suivant : « L’e-mail utilisait l’objet « EN ACCORD AVEC LA DÉCISION DE LA RÉUNION D’URGENCE DU CONSEIL DE SÉCURITÉ D’UKRAINE DATÉE DU 24.02.2022″ ». Une feuille de calcul contenue dans l’e-mail contenait un logiciel malveillant connu sous le nom de SunSeed. La fonction de SunSeed était d’agir comme un chemin d’accès à un PC infecté, permettant l’installation d’autres logiciels malveillants, a déclaré Proofpoint.

« Il y avait une nette préférence pour cibler les personnes ayant des responsabilités liées au transport, à l’allocation financière et budgétaire, à l’administration et aux mouvements de population en Europe », ont écrit les chercheurs de Proofpoint dans le blog publié mercredi. « Cette campagne peut représenter une tentative d’obtenir des renseignements concernant la logistique entourant les mouvements de fonds, de fournitures et de personnes au sein des pays membres de l’OTAN. »

« La possibilité d’exploiter les renseignements autour des mouvements de réfugiés en Europe à des fins de désinformation est un élément avéré des techniques de l’État russe et biélorusse. »

Catherine Woolard, directrice au Conseil européen sur les réfugiés et les exilés, une alliance de 105 ONG à travers 39 pays européens, a déclaré à Forbes qu’il y avait eu plus de messages de phishing que d’habitude sur la communauté, bien qu’elle n’ait pas entendu parler d’attaques réussies. « Nous entendons cela de tout le secteur et d’entités connexes, des fondations politiques, par exemple », a-t-elle ajouté.

« Nous avons l’habitude d’être une cible de bas niveau pour divers acteurs, et un bon nombre de nos membres ont mis en place une sécurité assez étendue – généralement en réponse à la surveillance de leurs propres gouvernements cependant. »

Un lien avec la Biélorussie ?

Les chercheurs ont attribué « provisoirement » les attaques à un groupe largement connu sous le nom de UNC1151, lié par d’autres chercheurs en cybersécurité au gouvernement de la Biélorussie. Ils ont déclaré que, bien qu’il n’y ait pas de liens techniques évidents, le comportement et le moment des attaques désignaient UNC1151, également connu sous le nom de Ghostwriter.

L’analyse de Proofpoint est intervenue après que l’équipe d’intervention en cas d’urgence informatique du gouvernement ukrainien a déclaré la semaine dernière que « des courriels de phishing de masse ont récemment été observés, ciblant les comptes privés « i.ua » et « meta.ua » du personnel militaire ukrainien et des personnes apparentées ». L’objectif était de prendre le contrôle des comptes de messagerie et d’utiliser les coordonnées du carnet d’adresses de la victime pour envoyer d’autres courriels de phishing. Le CERT a accusé UNC1151, affirmant que ses membres étaient des « officiers du ministère de la Défense de la République du Bélarus ». La société de cybersécurité Mandiant a ensuite attribué les attaques au groupe lié à la Biélorussie.

Google a déclaré hier avoir vu les hackers « cibler des responsables gouvernementaux et militaires ukrainiens. Nous avons bloqué ces tentatives et n’avons pas vu de compromission de comptes Google à la suite de cette campagne ». Cette déclaration a été suivie de celle de Facebook, qui a fait à peu près la même chose au sujet du ciblage de ses utilisateurs en Ukraine, bien que l’entreprise ait « détecté des tentatives de ciblage de personnes sur Facebook pour poster des vidéos YouTube présentant les troupes ukrainiennes comme faibles et se rendant à la Russie, y compris une vidéo prétendant montrer des soldats ukrainiens sortant d’une forêt en arborant un drapeau blanc de reddition ».

L’ambassade de Biélorussie à Londres n’avait pas répondu à une demande de commentaire au moment de la publication.

Pendant ce temps, ESET a publié un rapport mardi, indiquant que les cyberattaques visant à effacer les ordinateurs du gouvernement et des entreprises ukrainiennes ont été lancées quelques heures avant le début de l’invasion terrestre. Le logiciel malveillant ayant été créé au moins en octobre 2021, il semble que « les attaques aient été planifiées depuis plusieurs mois », a ajouté l’entreprise. Au même moment, des cibles ukrainiennes ont été frappées par un ransomware « leurre » pour faire diversion à la destruction de la mémoire des ordinateurs. Un deuxième logiciel malveillant « wiper » a également été lancé alors que l’opération terrestre était en cours, a noté ESET, soulignant un effort concerté pour perturber l’infrastructure informatique.

Article traduit de Forbes US – Auteur : Thomas Brewster 

<<< À lire également : Russie : Comment Vladimir Poutine a-t-il amassé une si grande fortune ? >>>