Les acteurs menaçants ayant des liens avec la Russie ont été associés à une campagne de cyberespionnage visant des organisations d’Asie centrale, d’Asie de l’Est et d’Europe.
Le groupe Insikt de Recorded Future, qui a attribué au groupe d’activités le nom TAG-110, a déclaré qu’il chevauche un groupe de menaces suivi par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) sous le nom d’UAC-0063, qui, à son tour, chevauche APT28. L’équipe de hackers est active depuis au moins 2021.
« En utilisant les outils malveillants personnalisés HATVIBE et CHERRYSPY, TAG-110 attaque principalement les entités gouvernementales, les groupes de défense des droits de l’homme et les établissements d’enseignement », a déclaré la société de cybersécurité. dit dans un rapport de jeudi. « HATVIBE fonctionne comme un chargeur pour déployer CHERRYSPY, une porte dérobée Python utilisée pour l’exfiltration de données et l’espionnage. »
L’utilisation de HATVIBE et CHERRYSPY par TAG-110 a été documentée pour la première fois par le CERT-UA fin mai 2023 dans le cadre d’une cyberattaque ciblant les agences d’État en Ukraine. Les deux familles de logiciels malveillants ont de nouveau été repérées plus d’un an plus tard lors d’une intrusion dans une institution de recherche scientifique anonyme dans le pays.
Depuis lors, pas moins de 62 victimes uniques dans onze pays ont été identifiées, avec des incidents notables au Tadjikistan, au Kirghizistan, au Kazakhstan, au Turkménistan et en Ouzbékistan, ce qui indique que l’Asie centrale est une zone d’intérêt privilégiée pour l’acteur menaçant dans une tentative probable de rassembler des victimes. des renseignements qui éclairent les objectifs géopolitiques de la Russie dans la région.
Un plus petit nombre de victimes ont également été détectées en Arménie, en Chine, en Hongrie, en Inde, en Grèce et en Ukraine.
Les chaînes d’attaque impliquent l’exploitation de failles de sécurité dans les applications Web publiques (par exemple, le serveur de fichiers HTTP Rejetto) et les e-mails de phishing comme vecteur d’accès initial pour supprimer HATVIBE, un chargeur d’application HTML sur mesure qui sert de canal pour déployer la porte dérobée CHERRYSPY pour collecte et exfiltration de données.
« Les efforts du TAG-110 font probablement partie d’une stratégie russe plus large visant à recueillir des renseignements sur les développements géopolitiques et à maintenir son influence dans les États post-soviétiques », a déclaré Recorded Future. « Ces régions sont importantes pour Moscou en raison des relations tendues suite à l’invasion de l’Ukraine par la Russie. »
La Russie aurait également intensifié ses opérations de sabotage dans les infrastructures critiques européennes après son invasion à grande échelle de l’Ukraine en février 2022, ciblant l’Estonie, la Finlande, la Lettonie, la Lituanie, la Norvège et la Pologne dans le but de déstabiliser les alliés de l’OTAN et de perturber leur soutien à l’Ukraine.
« Ces activités secrètes s’alignent sur la stratégie de guerre hybride plus large de la Russie, visant à déstabiliser les pays de l’OTAN, à affaiblir leurs capacités militaires et à mettre à rude épreuve les alliances politiques », a déclaré Recorded Future. ditdécrivant les efforts comme « calculés et persistants ».
« Comme les relations entre la Russie et l’Occident resteront presque certainement tendues, il est très probable que la Russie accroisse le caractère destructeur et meurtrier de ses opérations de sabotage sans franchir le seuil d’une guerre avec l’OTAN, comme indiqué dans le rapport. Doctrine Gerasimov. Ces attaques physiques viendront probablement compléter les efforts russes dans le domaine cybernétique et influencer les opérations conformément à la doctrine de guerre hybride de la Russie. »