Un large éventail d’acteurs malveillants, dont Fancy Bear, Ghostwriter et Mustang Panda, ont lancé des campagnes de phishing contre l’Ukraine, la Pologne et d’autres entités européennes dans le cadre de l’invasion russe de l’Ukraine.
Le groupe d’analyse des menaces (TAG) de Google a déclaré avoir supprimé deux domaines Blogspot utilisés par le groupe d’États-nations FancyBear (alias APT28) – qui est attribué au renseignement militaire russe GRU – comme page de destination pour ses attaques d’ingénierie sociale.
La divulgation fait suite à un avis de l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) avertissant des campagnes de phishing ciblant les utilisateurs d’Ukr.net qui impliquent l’envoi de messages à partir de comptes compromis contenant des liens vers des pages de collecte d’informations d’identification contrôlées par des attaquants.
Un autre groupe d’activités de menace concerne les utilisateurs de messagerie Web de Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua et i.ua, qui ont été la cible d’attaques de phishing par un acteur de menace biélorusse suivi en tant que Ghostwriter (alias UNC1151).
Le groupe de piratage a également « mené des campagnes de phishing d’identifiants au cours de la semaine dernière contre le gouvernement polonais et ukrainien et les organisations militaires », Shane Huntley, directeur de Google TAG, mentionné dans un rapport.
Mais il n’y a pas que la Russie et la Biélorussie qui ont jeté leur dévolu sur l’Ukraine et l’Europe. Inclus dans le mélange est un acteur de menace basé en Chine connu sous le nom de Mustang Panda (alias TA416 ou RedDelta) qui tente de planter des logiciels malveillants dans « des entités européennes ciblées avec des leurres liés à l’invasion ukrainienne ».
Les conclusions ont également été corroborées séparément par la société de sécurité d’entreprise Proofpoint, qui détaillé une campagne TA416 pluriannuelle contre les entités diplomatiques en Europe à partir de début novembre 2021, comptant un « individu impliqué dans les services aux réfugiés et aux migrants » le 28 février 2022.
La séquence d’infection impliquait d’intégrer une URL malveillante dans un message de phishing en utilisant une adresse e-mail compromise d’un diplomate d’un pays européen de l’OTAN, qui, lorsqu’il était cliqué, délivrait un fichier d’archive incorporant un compte-gouttes qui, à son tour, téléchargeait un document leurre pour récupérer le logiciel malveillant PlugX de dernière étape.
Les divulgations surviennent sous la forme d’un déluge d’attaques par déni de service distribué (DDoS) qui ont frappé de nombreux sites ukrainiens, tels que ceux associés au ministère de la Défense, des Affaires étrangères, des Affaires intérieures et des services comme Liveuamap.
« Les pirates informatiques russes continuent d’attaquer les ressources d’information ukrainiennes sans arrêt », a déclaré le Service d’État des communications spéciales et de la protection de l’information de l’Ukraine (SSSCIP). mentionné dans un tweet ce week-end.
« Le plus puissant [DDoS] les attaques dépassaient 100 Gbps à leur apogée. Malgré toutes les ressources de l’ennemi impliqué, les sites des organes gouvernementaux centraux sont disponibles. »
Dans un développement connexe, le collectif de piratage Anonymous revendiqué qu’il a supprimé le site Web du Service fédéral de sécurité de Russie et qu’il a interrompu les flux en direct de plusieurs chaînes de télévision russes et de services de streaming comme Wink, Ivi, Russia 24, Channel One et Moscow 24 pour diffuser des images de guerre depuis l’Ukraine.
La vague de contre-attaques contre la Russie a été galvanisé par la formation d’une armée informatique, une initiative participative du gouvernement ukrainien qui s’appuie sur la guerre numérique pour perturber le gouvernement russe et les cibles militaires.
Le développement fait également suite à la décision de la Russie d’interdire Facebook et d’étrangler d’autres plates-formes de médias sociaux largement utilisées dans le pays, tout comme les entreprises technologiques américaines ont décidé de rompre leurs liens avec la Russie, effectivement création d’un rideau de fer et la réduction de l’accès en ligne.