JENA / BRATISLAVA (DPA -AFX) – Le célèbre groupe de pirates russes Fancy Bear a ciblé les armes qui offrent des armes à l’Ukraine. Cela émerge d’une étude récente de la société de sécurité slovaque ESET de Bratislava. Après cela, les attaques ont été dirigées principalement contre les fabricants de technologies d’armes soviétiques en Bulgarie, en Roumanie et en Ukraine, qui jouent un rôle clé dans la défense contre le raid de la Russie. Les armements en Afrique et en Amérique du Sud ont également été touchés.
L’ours fantaisie du groupe de pirate est également connu sous le nom de Sednit ou APT28. Elle aurait également été responsable des attaques contre le Bundestag allemand (2015), la politicienne américaine Hillary Clinton (2016) et le siège du parti du SPD (2023). Selon les experts, le groupe fait partie d’une stratégie plus large des services secrets russes pour utiliser les cyberattaques comme moyen d’influence politique et de déstabilisation. En plus de l’espionnage, l’accent est également mis sur les campagnes de désinformation ciblées qui sont dirigés contre les démocraties occidentales.
Attaquez les systèmes de la messagerie Web manipulée
Dans la campagne d’espionnage actuelle avec le nom “Operation RoundPress”, les pirates ont profité des vulnérabilités dans un logiciel WebMail répandu, y compris les programmes Roundcube, Zimbra, Horde et Mdaemon. Un certain nombre de faiblesses auraient pu être éliminées par une bonne maintenance de logiciels. Dans un cas, cependant, les entreprises concernées étaient presque impuissantes parce que les attaquants ont pu profiter d’une vulnérabilité auparavant inconnue à Mdaemon, qui pourrait initialement ne pas être fermée.
Selon la connaissance des chercheurs de l’ESET, les attaques ont généralement commencé avec des e-mails manipulés qui se camouflaient comme des reportages. Des sources sérieuses telles que le KYIV Post ou le portail bulgare News News.bg. Dès que l’e-mail est ouvert dans le navigateur, un code de malveillance caché commence. Les filtres à spam sont évités avec succès.
Protection à deux facteurs contournée
Les experts de Bratislava ont pu identifier le malware “spypress.maemon” lors de l’analyse des attaques. Le programme des pirates n’est pas seulement en mesure de lire les données d’accès et de suivre les e-mails. Même l’authentification à deux facteurs pourrait être exploitée. L’authentification à deux facteurs (court 2FA) est une mesure de sécurité supplémentaire lors de la connexion à des comptes en ligne ou lors de l’accès à des données sensibles. Il garantit que non seulement un mot de passe est suffisant pour accéder, mais nécessite également des preuves. Dans plusieurs cas, cependant, les pirates de Fancy Bear avaient réussi à contourner la protection 2FA et à accéder en permanence aux boîtes aux lettres avec des mots de passe dits d’application.
“De nombreuses entreprises exécutent des serveurs de la mise en ligne obsolètes”, a déclaré le chercheur de l’ESET, Matthieu Faou. “Même le simple affichage d’un e-mail dans le navigateur peut être suffisant pour effectuer du code de malveillance sans que le destinataire ne clique activement sur quelque chose.” / CHD / DP / MIS