Un large éventail d’acteurs malveillants, dont Fancy Bear, Ghostwriter et Mustang Panda, ont lancé des campagnes de phishing contre l’Ukraine, la Pologne et d’autres entités européennes dans le cadre de l’invasion russe de l’Ukraine.
Le groupe d’analyse des menaces (TAG) de Google a déclaré avoir supprimé deux domaines Blogspot utilisés par le groupe d’États-nations FancyBear (alias APT28) – qui est attribué au renseignement militaire russe GRU – comme page de destination pour ses attaques d’ingénierie sociale.
La divulgation fait suite à un avis de l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) avertissant des campagnes de phishing ciblant les utilisateurs d’Ukr.net qui impliquent l’envoi de messages à partir de comptes compromis contenant des liens vers des pages de collecte d’informations d’identification contrôlées par des attaquants.
Un autre groupe d’activités de menace concerne les utilisateurs de messagerie Web de Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua et i.ua, qui ont été la cible d’attaques de phishing par un acteur de menace biélorusse suivi en tant que Ghostwriter (alias UNC1151).
Le groupe de piratage a également « mené des campagnes de phishing d’identifiants au cours de la semaine dernière contre les gouvernements et les organisations militaires polonais et ukrainiens », a déclaré Shane Huntley, directeur de Google TAG, dans un rapport.
Par ailleurs, le CERT-UA a divulgué les détails d’une cyberattaque entreprise par le groupe UNC1151 visant les organisations étatiques ukrainiennes utilisant un logiciel malveillant appelé MicroBackdoor qui est livré aux systèmes compromis sous la forme d’un fichier d’aide HTML compilé de Microsoft (« dovidka.chm »).
Mais il n’y a pas que la Russie et la Biélorussie qui ont jeté leur dévolu sur l’Ukraine et l’Europe. Inclus dans le mélange est un acteur de menace basé en Chine connu sous le nom de Mustang Panda (alias TA416 ou RedDelta) qui tente de planter des logiciels malveillants dans « des entités européennes ciblées avec des leurres liés à l’invasion ukrainienne ».
Les conclusions ont également été corroborées séparément par la société de sécurité d’entreprise Proofpoint, qui a détaillé une campagne pluriannuelle TA416 contre des entités diplomatiques en Europe à partir de début novembre 2021, comptant une « personne impliquée dans les services aux réfugiés et aux migrants » le 28 février 2022.
La séquence d’infection impliquait d’intégrer une URL malveillante dans un message de phishing en utilisant une adresse e-mail compromise d’un diplomate d’un pays européen de l’OTAN, qui, lorsqu’il était cliqué, délivrait un fichier d’archive incorporant un compte-gouttes qui, à son tour, téléchargeait un document leurre pour récupérer le logiciel malveillant PlugX de dernière étape.
Les révélations surviennent alors qu’un déluge d’attaques par déni de service distribué (DDoS) a bombardé de nombreux sites ukrainiens, tels que ceux associés au ministère de la Défense, des Affaires étrangères, des Affaires intérieures et des services comme Liveuamap.
« Les pirates russes continuent d’attaquer les ressources d’information ukrainiennes sans arrêt », a déclaré le Service d’État des communications spéciales et de la protection de l’information de l’Ukraine (SSSCIP) dans un tweet ce week-end.
« Les attaques [DDoS] les plus puissantes ont dépassé les 100 Gbit/s à leur apogée. Malgré toutes les ressources de l’ennemi impliqué, les sites des organes gouvernementaux centraux sont disponibles. »
Dans un développement connexe, le collectif de piratage Anonymous a affirmé qu’il avait supprimé le site Web du Service fédéral de sécurité de Russie et qu’il avait interrompu les flux en direct de plusieurs chaînes de télévision et services de streaming russes comme Wink, Ivi, Russia 24, Channel One et Moscou 24 pour diffuser des images de guerre depuis l’Ukraine.
La vague de contre-attaques contre la Russie a été galvanisée par la formation d’une armée informatique, une initiative participative du gouvernement ukrainien qui s’appuie sur la guerre numérique pour perturber le gouvernement russe et les cibles militaires.
Le développement fait également suite à la décision de la Russie d’interdire Facebook et d’étrangler d’autres plates-formes de médias sociaux largement utilisées dans le pays, tout comme les entreprises technologiques américaines ont décidé de rompre leurs liens avec la Russie, créant ainsi un rideau de fer et limitant l’accès en ligne.