Recevez des mises à jour gratuites sur la cyberguerre
Nous vous enverrons un Résumé quotidien myFT e-mail récapitulant les dernières Cyber guerre nouvelles tous les matins.
Des pirates informatiques liés aux services d’espionnage russes ont détourné la publicité d’un diplomate polonais pour vendre sa BMW, diffusant des logiciels malveillants dans le but d’infiltrer les réseaux des ambassades étrangères en Ukraine.
Le diplomate basé à Kiev a envoyé par e-mail une publicité concernant sa BMW Série 5 2011 à des dizaines d’autres ambassades ce printemps.
En deux semaines, les pirates avaient réorienté la publicité, baissé le prix et mêlé l’avis à des logiciels malveillants, selon des chercheurs de l’Unité 42, qui fait partie de la société californienne de cybersécurité Palo Alto Networks.
L’objectif était d’inciter les destinataires à cliquer sur les images de la berline bleu marine à 7 500 € avec garniture en cuir et moteur diesel de deux litres, et ainsi permettre aux pirates de voler subrepticement des données ainsi que l’accès futur aux réseaux des ambassades.
La publicité piratée dans son intégralité
Les chercheurs affirment que les responsables – qui ont envoyé la publicité réutilisée à 22 missions diplomatiques à Kiev – faisaient partie d’une unité de piratage surnommée Cozy Bear qui est liée au service russe de renseignement extérieur (SVR).
Les responsables occidentaux ont lié Cozy Bear aux violations du Comité national démocrate américain en 2016 et du Comité national républicain en 2021.
Cozy Bear a utilisé l’annonce BMW pour cacher le soi-disant lien de harponnage pour installer une porte dérobée dans les réseaux des ambassades, un signe de la sophistication des efforts d’espionnage de Moscou, selon les chercheurs.
Le spear-phishing consiste à créer des liens attrayants sur lesquels même les destinataires prudents peuvent être amenés à cliquer. Les exemples précédents comprenaient un e-mail cette année aux ambassades à Kiev qui prétendait donner des détails sur les efforts de secours de la Turquie en cas de tremblement de terre. Les exemples précédents comprenaient un e-mail cette année aux ambassades à Kiev qui prétendait donner des détails sur les efforts de secours de la Turquie en cas de tremblement de terre.
« Il s’agit d’obtenir leurs hameçons — surtout en Ukraine. . . où ils veulent tirer le maximum de leurs hameçons et y donner un sens plus tard », a déclaré Michael Sikorski, vice-président de l’Unité 42, qui a qualifié les pirates de « plutôt impressionnants ».
Les pirates russes sont à l’origine de certains des logiciels malveillants les plus sophistiqués vus par les chercheurs occidentaux © Bildagentur/Alamy
On ne sait pas si l’une des missions ciblées a été infiltrée avec succès. Un balayage des systèmes américains à Kiev ce mois-ci n’a rien montré, ont déclaré deux personnes proches du dossier.
Les sociétés occidentales de cybersécurité, dont Palo Alto Networks, Microsoft, Dragos et d’autres, ont des contrats pour protéger les clients ukrainiens. Cela implique généralement d’observer une grande partie des données transférées sur les réseaux.
Sikorski a déclaré que, alors que les e-mails contenant des logiciels malveillants circulaient, les chercheurs de l’Unité 42 ont noté quelque chose de mal avec la pièce jointe et ont averti les missions ciblées en quelques jours. Il a refusé de discuter des détails de ces conversations.
Le diplomate polonais a refusé de commenter, tout comme l’ambassade de Pologne. La voiture reste invendue.
Les pirates informatiques russes ont inondé les réseaux ukrainiens avant l’invasion à grande échelle de février 2022, brandissant certains des logiciels malveillants les plus sophistiqués vus par les chercheurs occidentaux.
Ils ont coupé l’accès à un système Internet par satellite vendu par une société américaine et effacé les données des systèmes publics de train et d’immigration au début de la guerre.
Les sociétés de sécurité américaines et européennes, parfois financées par les alliés de l’Ukraine, ont contribué à contrecarrer les attaques contre le réseau énergétique, les systèmes militaires et le réseau bancaire du pays.
Mais les compétences de phishing des pirates russes ont été un sujet de préoccupation. Un e-mail intercepté l’année dernière contenait une feuille de calcul promettant les détails des soldats ukrainiens morts et blessés.
Il était censé avoir été envoyé par erreur, ce qui rendait difficile pour les destinataires de résister à cliquer sur ce qui promettait d’être un douloureux secret national.
L’accès continu aux e-mails d’une ambassade a créé un nouveau risque, a déclaré Sikorski, maintenant que les pirates peuvent réutiliser les systèmes d’IA tels que ChatGPT pour s’entraîner au style des conversations existantes.
« Nous savons maintenant qu’ils ont probablement accès aux boîtes de réception des gens, et ils peuvent même s’entraîner à partir des conversations que vous avez eues avec les gens dans le passé », a-t-il déclaré.
Reportage supplémentaire de Christopher Miller à Kiev