Le groupe russe APT28 aurait mené deux importantes campagnes d’usurpation de sites gouvernementaux ukrainiens

Les médias Bellingcat, The Insider et le chercheur Snorre Fagerland ont publié une étude sur deux campagnes d’attaques du Service de renseignement extérieur russe (GRU) ayant ciblé l’Ukraine en fin d’année 2021 et début 2022.

Le groupe d’attaquants impliqué est APT28, aussi appelé Fancy Bear. Ce dernier a usurpé divers sites ukrainiens dont les principaux étaient :
• Le site du ministère de la Justice, aperçu la première fois le 21 décembre 2021 ;
• Le site du bureau du Président Zelensky proposant de participer à une pétition, ce site a été identifié à partir du 27 novembre 2021.

Le second site s’inscrit dans une vaste campagne d’attaques par ingénierie sociale visant à installer un Trojan sur les machines des citoyens ukrainiens. Pour ce faire, le faux-site proposait aux visiteurs de signer une « pétition » visant à soutenir le Président ukrainien et demander à ce que les biens des oligarques russes présents en Ukraine soient confisqués puis redistribués à la population.

On ne connait pas l’objectif exact de cette campagne de compromisson de nombreuses machines ukrainiennes mais diverses hypothèses existent :
• La publication massive des données personnelles des citoyens concernés afin de créer la panique ;
• La création d’un important réseau de botnet afin de mener une attaque de déni de service distribué (DDoS) contre les infrastructures de l’Internet ukrainien ;
• Le vol des identifiants liés aux comptes sur les réseaux sociaux des personnes afin de créer une ferme à trolls et diffuser des informations fallacieuses.

À la suite de ces précédentes campagnes d’attaques, le groupe APT a poursuivi son offensive en février comme l’illustre la découverte sur Discord d’une trentaine de fichiers ZIP contenant des malwares. Ces derniers étaient censés être adressés à d’autres entités gouvernementales ukrainiennes telles que l’Agence pour le nucléaire ou les Ministères des Affaires étrangères et de la Défense.

CERT-XMCO

Découvrir d'autres articles