Des attaquants se faisant passer pour le Service de sécurité ukrainien (SSU) ont utilisé des spams malveillants pour cibler et compromettre les systèmes appartenant aux agences gouvernementales du pays.

Lundi, l’Équipe d’intervention en cas d’urgence informatique d’Ukraine (CERT-UA) a révélé que les attaquants avaient infecté avec succès plus de 100 ordinateurs avec des logiciels malveillants AnonVNC.

Certains échantillons ont été signés à l’aide du certificat de signature de code de ce qui ressemble à une entreprise chinoise (Shenzhen Variable Engine E-commerce Co Ltd).

« Bonjour, dans le cadre de l’inspection complète d’un certain nombre d’organisations, je vous demande de vous présenter à la Direction principale du SBU à l’adresse 01601, Kiev 1, str. Malopodvalna, 16 ans, liste des documents demandés jusqu’au 15 août 2024. Téléchargez la demande officielle: Dokumenty.zip », lisent les courriels malveillants, renvoyant à une pièce jointe prétendant être une liste de documents requise par la SSU.

Ces attaques ont commencé il y a plus d’un mois, vers le 12 juillet, avec des courriels poussant des hyperliens vers un document.archive zip qui téléchargerait à la place un fichier MSI Windows Installer à partir de gbshost[.] net conçu pour déployer le malware.

Bien que CERT-UA ne fournisse pas une description exacte des capacités du logiciel malveillant, il a déclaré qu’il permettait au groupe de menaces suivi comme UAC-0198 d’accéder secrètement aux ordinateurs compromis.

« Le CERT-UA a identifié plus de 100 ordinateurs affectés, en particulier parmi les organismes gouvernementaux centraux et locaux », a déclaré le CERT-UA.

« Notez que des cyberattaques connexes ont été menées depuis au moins juillet 2024 et peuvent avoir une géographie plus large. »

L’Ukraine attaquée
​Le mois dernier, la société de cybersécurité Dragos a révélé qu’une cyberattaque fin janvier 2024 avait utilisé un logiciel malveillant FrostyGoop lié à la Russie pour couper le chauffage de plus de 600 immeubles d’habitation à Lviv, en Ukraine, pendant deux jours par des températures inférieures à zéro.

FrostyGoop est le neuvième malware ICS découvert dans la nature, dont beaucoup sont liés à des groupes de menaces russes. Mandiant a trouvé CosmicEnergy et ESET a repéré Industroyer2, que des pirates informatiques ont utilisé dans une attaque ratée contre un fournisseur d’énergie ukrainien.

En avril, le CERT-UA a également révélé que le tristement célèbre groupe de piratage militaire russe Sandworm avait ciblé et, dans certains cas, violé 20 organisations d’infrastructures critiques d’énergie, d’eau et de chauffage en Ukraine.

En décembre, Sandworm a également piraté et effacé des milliers de systèmes sur le réseau de Kyivstar, le plus grand fournisseur de services de télécommunications d’Ukraine. Au total, comme CERT-UA l’a révélé en octobre, ils ont violé les réseaux de 11 fournisseurs de services de télécommunications ukrainiens depuis mai 2023.

La Direction principale du Renseignement (GUR) du ministère ukrainien de la Défense a également affirmé avoir piraté le Ministère russe de la Défense en mars après avoir précédemment revendiqué la responsabilité des violations du Centre Russe d’Hydrométéorologie Spatiale, de l’Agence Fédérale Russe du Transport Aérien et du Service Fédéral des Impôts russe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *