L’Ukraine continue de faire face à des attaques de cyberespionnage de la part de pirates informatiques russes

Ataques de ciberespionaje Des nouvelles

Des chercheurs en cybersécurité ont déclaré lundi avoir découvert des preuves de tentatives d’attaques par une opération de piratage liée à la Russie visant une entité ukrainienne en juillet 2021.

Symantec, propriété de Broadcom, dans un nouveau rapport publié lundi, a attribué les attaques à un acteur identifié comme Gamaredon (alias Shuckworm ou Armageddon), un collectif de cyberespionnage connu pour être actif depuis au moins 2013.

En novembre 2021, les agences de renseignement ukrainiennes ont qualifié le groupe de « projet spécial » du Service fédéral de sécurité (FSB) russe, en plus de le pointer du doigt pour avoir mené plus de 5 000 cyberattaques contre les autorités publiques et les infrastructures critiques situées dans le pays.

Les attaques Gamaredon proviennent généralement d’e-mails de phishing qui incitent les destinataires à installer un cheval de Troie d’accès à distance personnalisé appelé Pterodo. Symantec a révélé qu’entre le 14 juillet 2021 et le 18 août 2021, l’acteur a installé plusieurs variantes de la porte dérobée et déployé des scripts et des outils supplémentaires.

« La chaîne d’attaque a commencé par un document malveillant, probablement envoyé via un e-mail de phishing, qui a été ouvert par l’utilisateur de la machine infectée », expliquent les chercheurs. mentionné. L’identité de l’organisation concernée n’a pas été divulguée.

Vers la fin du mois de juillet, l’adversaire a exploité l’implant pour télécharger et exécuter un fichier exécutable qui agissait comme un compte-gouttes pour un client VNC avant d’établir des connexions avec un serveur de commande et de contrôle à distance sous leur contrôle.

« Ce client VNC semble être la charge utile ultime pour cette attaque », ont noté les chercheurs, ajoutant que l’installation a été suivie par l’accès à un certain nombre de documents allant des descriptions de poste aux informations sensibles de l’entreprise sur la machine compromise.

L’Ukraine dénonce une opération sous fausse bannière lors d’attaques d’essuie-glace

Les découvertes surviennent au milieu d’une vague de perturbations et attaques destructrices prélevées contre des entités ukrainiennes par des acteurs présumés parrainés par l’État russe, entraînant le déploiement d’un effaceur de fichiers surnommé WhisperGate, à peu près au même moment, plusieurs sites Web appartenant au gouvernement ont été dégradés.

Subséquent enquête dans le malware a depuis révélé que le code utilisé dans l’essuie-glace a été réutilisé à partir d’une fausse campagne de ransomware appelée WhiteBlackCrypt qui visait les victimes russes en mars 2021.

Fait intéressant, le ransomware est connu pour inclure un symbole de trident – qui fait partie de Les armoiries de l’Ukraine – dans la note de rançon qu’il affiche à ses victimes, amenant l’Ukraine à soupçonner qu’il s’agissait peut-être d’une opération sous fausse bannière destinée délibérément à accuser un « faux » groupe pro-ukrainien d’avoir organisé une attaque contre son propre gouvernement.

David
Rate author
Hackarizona