Attaques de phishing de masse contre des citoyens ukrainiens signalées

L’équipe d’intervention en cas d’urgence informatique de l’État ukrainien (CERT-UA) s’est rendue aujourd’hui sur les médias sociaux pour avertir les Ukrainiens d’un nombre croissant d’attaques de phishing ciblant des dispositifs dans le pays à la suite de l’invasion par les forces armées russes.

Dans un avis publié sur Facebook, CERT-UA a déclaré que des courriels de phishing de masse avaient été observés ciblant les comptes du personnel militaire ukrainien et des personnes apparentées. Il a attribué les attaques à un groupe de menace persistante avancée (APT) suivi sous le nom de UNC1151, basé au sein du ministère biélorusse de la Défense à Minsk. La Biélorussie est considérée comme un État client du régime russe.

Le directeur de Mandiant, Ben Read, qui a suivi UNC1151, a déclaré: « Nous surveillons les rapports de phishing généralisé d’individus ukrainiens par UNC1151. Nous sommes en mesure de lier l’infrastructure signalée par CERT-UA à UNC1151, mais nous n’avons pas vu les messages de phishing directement. Cependant, l’UNC1151 a largement ciblé l’Ukraine et en particulier l’armée ukrainienne au cours des deux dernières années, de sorte que cette activité correspond à leur modèle historique.

« Ces actions de l’UNC1151, qui, selon nous, sont liées à l’armée biélorusse, sont préoccupantes parce que les données personnelles des citoyens et des militaires ukrainiens peuvent être exploitées dans un scénario d’occupation et que l’UNC1151 a utilisé ses intrusions pour faciliter la campagne d’information Ghostwriter. La fuite de documents trompeurs ou fabriqués de toutes pièces provenant d’entités ukrainiennes pourrait être utilisée pour promouvoir des récits favorables à la Russie et à la Biélorussie », a déclaré Read à Computer Weekly dans des commentaires envoyés par courrier électronique.

Ghostwriter a déjà ciblé l’alliance de l’OTAN, cherchant à éroder le soutien à l’organisation. Je ne serais pas surpris si des opérations similaires étaient vues dans un proche avenir », a-t-il ajouté.

Les avertissements du CERT-UA ont été corroborés par le Service d’État ukrainien de la communication spéciale et de la protection de l’information (SSSCIP), tandis que la société de cybersécurité ESET a également averti les personnes situées à l’extérieur de l’Ukraine de se méfier des tentatives de phishing liées à la guerre.

Parallèlement à l’invasion militaire en cours de l’Ukraine par le dirigeant russe Vladimir Poutine, les organismes gouvernementaux et d’autres organisations du pays ont déjà été soumis à une vague soutenue de cyberattaques, y compris des actions de déni de service distribué (DDoS) et des intrusions ciblées et destructrices avec un logiciel malveillant surnommé HermeticWiper. Ces cyberattaques se sont intensifiées avant l’invasion du 24 février et montrent peu de signes de ralentissement.

Dans un communiqué publié le 23 février, avant l’attaque cinétique, le SSSCIP ukrainien a déclaré : « Les attaques de phishing contre les autorités publiques et les infrastructures critiques, la propagation de logiciels malveillants, ainsi que les tentatives de pénétration des réseaux des secteurs privé et public et d’autres actions destructrices se sont intensifiées.

« Les équipes de cybersécurité désignées, les fournisseurs de services Internet et les équipes informatiques des infrastructures d’information essentielles travaillent 24 heures sur 24, 7 jours sur 7, assurant la disponibilité et l’intégrité des ressources informationnelles.

« Les cyberattaques d’aujourd’hui ne nécessitent même plus d’attribution technique détaillée. Les attaquants, sans trop se cacher, utilisent des réseaux de robots pour le phishing et les attaques DDoS, que nos services spéciaux identifient sans ambiguïté comme étant liés aux services secrets du pays agresseur. [Russia]. »

SSSCIP a lancé un nouvel appel aux organisations en Ukraine pour isoler les postes de travail et les serveurs qui ne sont pas liés à des fonctions critiques, mettre à jour les systèmes et les logiciels vers les versions les plus récentes et sauvegarder les données sur un stockage externe.

À l’heure actuelle, bien qu’il ne soit pas considéré comme une menace immédiate pour les organisations au Royaume-Uni, tous les défenseurs devraient évaluer leurs postures actuelles en matière de cybersécurité et leurs vulnérabilités potentielles aux cyberattaques en provenance de Russie, en particulier celles qui peuvent cibler les partenaires de la chaîne d’approvisionnement.

Des rapports émergent également selon lesquels les organisations russes sont maintenant la cible de cyberactions de la part d’acteurs inconnus. Le directeur de l’analyse Internet de Kentik, Doug Madory, qui a joué un rôle déterminant dans le suivi des attaques DDoS antérieures contre l’Ukraine, a également signalé des pannes importantes dans les banques russes Sberbank – dans lesquelles le député conservateur Jacob Rees-Mogg détenait des intérêts importants jusqu’à récemment – et Alfabank, ainsi que des perturbations sur les sites Web du gouvernement russe.

En outre, un compte Twitter qui prétend appartenir au collectif Anonymous a rapporté que le groupe avait supprimé le site Web du média de propagande russe RT. Au moment de la rédaction de cet article, le site Web de RT est accessible depuis le Royaume-Uni.