Des Russes tentent d’exploiter la vente d’une BMW 5 pour pirater des diplomates en Ukraine

Des diplomates basés en Ukraine ont été la cible de nombreuses tentatives de la part de la Russie pour compromettre leurs systèmes informatiques.

L’une de ces dernières visait les émissaires de 22 pays, dont le Canada et les États-Unis, avec une méthode inattendue : profiter de l’offre d’un diplomate polonais de vendre une berline BMW Série 5 d’occasion.

Selon des chercheurs du service de renseignement sur les menaces Unit 42 de Palo Alto Networks, en avril, un diplomate du ministère polonais des Affaires étrangères a envoyé par courrier électronique un document à diverses ambassades annonçant la vente de sa BM avec 266 000 km au compteur.

Apparemment, cela aurait été repéré par un gang que Palo Alto Networks appelle Cloaked Ursa (que d’autres chercheurs appellent APT29, UAC-0029, Cozy Bear, Nobelium ou, selon la nouvelle nomenclature de Microsoft, Midnight Blizzard). Les États-Unis et le Royaume-Uni affirment que ce groupe fait partie du service de renseignement étranger russe, connu sous le nom de SRV.

Deux semaines après l’envoi de ce courriel, Cloaked Ursa a en envoyé une autre version à plusieurs missions diplomatiques à travers Kiev, indiquant que le prix avait été réduit. Cependant, toute personne ayant cliqué sur le lien proposant « plus de photos de haute qualité » serait plutôt allée sur un site Web légitime mais compromis contenant des images. Ces images sont en fait des fichiers de raccourcis Windows se faisant passer pour des fichiers image PNG. Les tentatives d’affichage des photos entraînent le téléchargement de logiciels malveillants en arrière-plan. Cela a conduit à des communications vers un serveur de commande et de contrôle.

Selon le rapport, les tentatives de ce cybercriminel sont généralement plus subtiles, le harponnage se concentrant sur les Notes verbales (des communications diplomatiques semi-formelles de gouvernement à gouvernement), les invitations aux événements des ambassades et les mises à jour sur le fonctionnement des ambassades.

La plupart des courriels de cette campagne sont allés dans les boîtes de réception générales des ambassades. Quelques-uns sont allés à des personnes ciblées.

Cependant, l’envoi d’un courriel à plus de 22 ambassades « a une portée stupéfiante pour ce qui est généralement des opérations cybercriminelles clandestines de faible portée », disent les chercheurs.

« Bien que nous n’ayons pas de détails sur leur taux de réussite d’infection, il s’agit d’un chiffre vraiment étonnant pour une opération clandestine menée par un cybercriminel persistant. »

Les missions diplomatiques seront toujours une cible d’espionnage de grande valeur, indique le rapport. « Seize mois après le début de l’invasion russe de l’Ukraine, les renseignements entourant l’Ukraine et les efforts diplomatiques alliés sont presque certainement une priorité élevée pour le gouvernement russe. »

« Comme le montrent les campagnes ci-dessus, les diplomates doivent comprendre que les cybercriminels modifient continuellement leurs approches – y compris par le biais du harponnage – pour améliorer leur efficacité. Ils saisiront toutes les occasions d’inciter les victimes à une compromission. L’Ukraine et ses alliés doivent rester extrêmement vigilants face à la menace de cyber espionnage, afin d’assurer la sécurité et la confidentialité de leurs informations. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

 

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un duo montréalais lance une plateforme gratuite de formation en cybersécurité.

Deux amis d'enfance, tous deux entrepreneurs basés à Montréal,...

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Un groupe canadien reçoit 2,2 millions de dollars pour la recherche sur la détection des menaces par l’IA pour les réseaux sans fil

Un groupe composé de chercheurs universitaires canadiens et d'Ericsson Canada vient d’obtenir un financement public dans le cadre de la National Cybersecurity Coalition pour des recherches avancées sur la lutte contre les cybermenaces.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.