Que s’est-il passé ? Le piratage informatique russe a explosé depuis l’invasion de l’Ukraine par ce pays. Le dernier incident en date serait le fait de cybercriminels travaillant à la demande de l’agence russe de renseignement extérieur, qui auraient ciblé les diplomates des ambassades ukrainiennes en leur envoyant une publicité pour une BMW bon marché.
Selon la division de recherche Unit 42 de Palo Alto Networks (via Reuters), des dizaines de diplomates travaillant dans au moins 22 des quelque 80 missions étrangères dans la capitale ukrainienne, Kiev, ont été visés par les attaques.
La campagne a débuté à la mi-avril lorsqu’un diplomate du ministère polonais des affaires étrangères a envoyé par courrier électronique un prospectus légitime à plusieurs ambassades. Il s’agissait d’une publicité pour une berline BMW série 5 d’occasion située à Kiev.
Les pirates ont ensuite intercepté et copié le prospectus, en y intégrant un logiciel malveillant avant de l’envoyer à des dizaines d’autres diplomates à Kiev.
Le groupe responsable, APT29 alias « Cozy Bear », est une branche du service de renseignement extérieur russe (SVR). Il est soupçonné d’être à l’origine de nombreux piratages de grande envergure, notamment une attaque par ransomware contre le fournisseur tiers du Comité national républicain Synnex Corp, une intrusion dans le réseau des Démocrates, le piratage de FireEye, et bien d’autres encore.
L’unité 42 a pu remonter jusqu’au SVR grâce à la réutilisation par les pirates de certains outils et techniques précédemment liés à l’agence d’espionnage.
« Les missions diplomatiques constitueront toujours une cible d’espionnage de grande valeur », indique le communiqué de l’Unité 42. « Seize mois après l’invasion russe de l’Ukraine, les renseignements concernant l’Ukraine et les efforts diplomatiques des alliés sont très certainement une priorité pour le gouvernement russe.
Ce n’est pas seulement l’ajout d’un logiciel malveillant que Cozy Bear a modifié dans l’annonce. Il a également proposé la BMW à un prix inférieur, soit 7 500 euros (8 292 dollars). Cela devait rendre la voiture plus attrayante pour les acheteurs potentiels qui téléchargeraient à leur insu le logiciel, déguisé en album de photos de la voiture, permettant ainsi aux pirates d’accéder à distance à leurs appareils.
Un porte-parole du département d’État américain a déclaré qu’il était au courant de cette activité et qu’elle n’avait pas affecté les systèmes ou les comptes du département. La voiture est toujours en vente.
En mars dernier, un dénonciateur a divulgué des fichiers provenant d’une entreprise de défense basée à Moscou, qui montreraient comment l’entreprise collabore avec l’armée et les services de renseignement russes pour les aider à mener des opérations de piratage, à former des agents, à diffuser de la désinformation et à rechercher des vulnérabilités sur l’internet. Un mois plus tard, Microsoft mettait en garde contre les agents russes qui tentaient d’infiltrer les communautés de joueurs.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
