Des diplomates basés en Ukraine ont été la cible de nombreuses tentatives de la part de la Russie pour compromettre leurs systèmes informatiques.
L’une de ces dernières visait les émissaires de 22 pays, dont le Canada et les États-Unis, avec une méthode inattendue : profiter de l’offre d’un diplomate polonais de vendre une berline BMW Série 5 d’occasion.
Selon des chercheurs du service de renseignement sur les menaces Unit 42 de Palo Alto Networks, en avril, un diplomate du ministère polonais des Affaires étrangères a envoyé par courrier électronique un document à diverses ambassades annonçant la vente de sa BM avec 266 000 km au compteur.
Apparemment, cela aurait été repéré par un gang que Palo Alto Networks appelle Cloaked Ursa (que d’autres chercheurs appellent APT29, UAC-0029, Cozy Bear, Nobelium ou, selon la nouvelle nomenclature de Microsoft, Midnight Blizzard). Les États-Unis et le Royaume-Uni affirment que ce groupe fait partie du service de renseignement étranger russe, connu sous le nom de SRV.
Deux semaines après l’envoi de ce courriel, Cloaked Ursa a en envoyé une autre version à plusieurs missions diplomatiques à travers Kiev, indiquant que le prix avait été réduit. Cependant, toute personne ayant cliqué sur le lien proposant « plus de photos de haute qualité » serait plutôt allée sur un site Web légitime mais compromis contenant des images. Ces images sont en fait des fichiers de raccourcis Windows se faisant passer pour des fichiers image PNG. Les tentatives d’affichage des photos entraînent le téléchargement de logiciels malveillants en arrière-plan. Cela a conduit à des communications vers un serveur de commande et de contrôle.
Selon le rapport, les tentatives de ce cybercriminel sont généralement plus subtiles, le harponnage se concentrant sur les Notes verbales (des communications diplomatiques semi-formelles de gouvernement à gouvernement), les invitations aux événements des ambassades et les mises à jour sur le fonctionnement des ambassades.
La plupart des courriels de cette campagne sont allés dans les boîtes de réception générales des ambassades. Quelques-uns sont allés à des personnes ciblées.
Cependant, l’envoi d’un courriel à plus de 22 ambassades « a une portée stupéfiante pour ce qui est généralement des opérations cybercriminelles clandestines de faible portée », disent les chercheurs.
« Bien que nous n’ayons pas de détails sur leur taux de réussite d’infection, il s’agit d’un chiffre vraiment étonnant pour une opération clandestine menée par un cybercriminel persistant. »
Les missions diplomatiques seront toujours une cible d’espionnage de grande valeur, indique le rapport. « Seize mois après le début de l’invasion russe de l’Ukraine, les renseignements entourant l’Ukraine et les efforts diplomatiques alliés sont presque certainement une priorité élevée pour le gouvernement russe. »
« Comme le montrent les campagnes ci-dessus, les diplomates doivent comprendre que les cybercriminels modifient continuellement leurs approches – y compris par le biais du harponnage – pour améliorer leur efficacité. Ils saisiront toutes les occasions d’inciter les victimes à une compromission. L’Ukraine et ses alliés doivent rester extrêmement vigilants face à la menace de cyber espionnage, afin d’assurer la sécurité et la confidentialité de leurs informations. »
Adaptation et traduction française par Renaud Larue-Langlois.