Un groupe de menaces suivi sous le nom d’APT28 et lié à la Direction principale du renseignement de l’état-major russe (GRU) a piraté les serveurs de messagerie Roundcube appartenant à plusieurs organisations ukrainiennes, y compris des entités gouvernementales.
Dans ces attaques, le groupe de cyberespionnage (également connu sous le nom de BlueDelta, Fancy Bear, Sednit et Sofacy) a exploité les informations sur le conflit en cours entre la Russie et l’Ukraine pour inciter les destinataires à ouvrir des e-mails malveillants qui exploiteraient les vulnérabilités de Roundcube Webmail pour pirater des les serveurs.
Après avoir piraté les serveurs de messagerie, les pirates du renseignement militaire russe ont déployé des scripts malveillants qui ont redirigé les e-mails entrants des individus ciblés vers une adresse e-mail sous le contrôle des attaquants.
Ces scripts ont également été utilisés pour la reconnaissance et pour voler le carnet d’adresses Roundcube des victimes, les cookies de session et d’autres informations stockées dans la base de données de Roundcube.
Sur la base des preuves recueillies au cours de l’enquête, l’objectif de la campagne était de récolter et de voler des renseignements militaires pour soutenir l’invasion russe de l’Ukraine, selon une enquête conjointe menée par l’équipe ukrainienne d’intervention d’urgence informatique (CERTUA) et la division de recherche sur les menaces de Recorded Future Insikt Group.
On estime également que l’infrastructure utilisée par les pirates militaires APT28 dans ces attaques est opérationnelle depuis environ novembre 2021.
« Nous avons identifié une activité BlueDelta ciblant très probablement un bureau du procureur ukrainien régional et une autorité exécutive centrale ukrainienne, ainsi qu’une activité de reconnaissance impliquant d’autres entités gouvernementales ukrainiennes et une organisation impliquée dans la mise à niveau et la rénovation de l’infrastructure des avions militaires ukrainiens », a déclaré le groupe Insikt.
« La campagne de phishing BlueDelta analysée exploite les vulnérabilités CVE-2020-35730, CVE-2020-12641 et CVE-2021-44026 dans le logiciel de messagerie Web open source Roundcube afin d’exécuter plusieurs scripts de reconnaissance et d’exfiltration. »
Chevauchement avec les précédentes campagnes de cyberespionnage
Notamment, Recorded Future affirme que cette campagne chevauche les attaques précédentes liées à APT28 lorsqu’elles ont exploité une vulnérabilité critique de Microsoft Outlook de type zero-day (CVE-2023-23397) pour cibler les organisations européennes dans des attaques qui ne nécessitaient pas non plus d’interaction de l’utilisateur.
Ils ont utilisé le bogue du jour zéro pour voler les informations d’identification qui aidaient à se déplacer latéralement dans les réseaux des victimes et pour modifier les autorisations des dossiers de boîtes aux lettres Outlook afin d’exfiltrer les e-mails pour des comptes spécifiques.
Dans la campagne Outlook, les pirates du GRU ont piraté les réseaux d’environ 15 organisations gouvernementales, militaires, énergétiques et de transport entre la mi-avril et décembre 2022.
Le groupe d’analyse des menaces de Google a également récemment révélé qu’environ 60 % de tous les e-mails de phishing ciblant l’Ukraine au premier trimestre 2023 ont été envoyés par des attaquants russes, le groupe de piratage APT28 étant l’un des principaux contributeurs à cette activité malveillante.
En avril 2023, les services de renseignement américains et britanniques ont mis en garde contre les attaques APT28 exploitant une faille zero-day dans les routeurs Cisco pour déployer un malware Jaguar Tooth qui aide à récolter des renseignements sur des cibles basées aux États-Unis et dans l’UE.
APT28 est également connu pour son implication dans un piratage du Parlement fédéral allemand (Deutscher Bundestag) en 2015 et des attaques contre le Comité de campagne du Congrès démocratique (DCCC) et le Comité national démocrate (DNC) en 2016 (pour lesquelles ils ont été accusés par les États-Unis deux ans plus tard).
Le Conseil de l’Union européenne a sanctionné les membres de l’APT28 en octobre 2020 pour leur implication dans le piratage du Deutscher Bundestag en 2015.