News
Des pirates informatiques russes auraient attiré des employés d’ambassades situées en Ukraine avec une publicité pour une BMW bon marché
juillet 2023 par Benoit Grunemwald Expert en Cyber sécurité, ESET France
Des pirates informatiques soupçonnés de travailler pour le compte de l’agence russe de renseignement extérieur ont ciblé des dizaines de diplomates dans des ambassades en Ukraine avec une fausse annonce de voiture d’occasion dans le but de pénétrer dans leurs ordinateurs, selon un rapport d’une société de cybersécurité vu par Reuters.
Cette activité d’espionnage de grande envergure a visé des diplomates travaillant dans au moins 22 des quelque 80 missions étrangères présentes dans la capitale ukrainienne, Kiev, ont indiqué les analystes de la division de recherche Unit 42 de Palo Alto Networks dans le rapport, qui doit être publié ce mercredi.
"La campagne a commencé par un événement inoffensif et légitime", indique le rapport. À la mi-avril 2023, un diplomate du ministère polonais des Affaires étrangères a envoyé par courriel un prospectus légitime à diverses ambassades pour annoncer la vente d’une berline BMW série 5 d’occasion située à Kiev. Le diplomate polonais, qui a refusé d’être identifié pour des raisons de sécurité, a confirmé le rôle de son annonce dans l’intrusion numérique. Les pirates, connus sous le nom d’APT29 ou "Cozy Bear", ont intercepté et copié ce prospectus, y ont intégré un logiciel malveillant, puis l’ont envoyé à des dizaines d’autres diplomates étrangers travaillant à Kiev, a indiqué l’Unité 42.
Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit :
"Cela met en évidence la créativité dont font preuve les acteurs de la menace atteindre leurs victimes. Une simple publicité pour une voiture détournée montre que n’importe qui peut devenir victime en quelques clics. Dans ce cas, la crédibilité de l’annonce a été amplifiée par la pratique courante des diplomates qui vendent leurs voitures à d’autres diplomates.
Les personnes exposées, comme les diplomates et les fonctionnaires, doivent rester en alerte permanente, même lorsqu’elles répondent à une annonce en ligne apparemment innocente. Il s’agit d’un rappel important à la prudence.
Bien qu’il semble s’agir d’une attaque ciblée, la prudence est toujours de mise lorsque l’on recherche ou que l’on se voit proposer de bonnes affaires :
• Les transactions en ligne sont de bons prétextes pour jouer sur la curiosité et la recherche de bonnes affaires par les acheteurs, et ainsi les attirer dans une escroquerie.
• Même si vous connaissez la personne qui vous envoie un courriel contenant une annonce, n’ouvrez pas les pièces jointes avant d’avoir vérifié la légitimité de l’annonce.
• Il en va de même pour les liens.
• Rappelez-vous que, peu importe qui vous êtes, vous pouvez être une cible."
Informations supplémentaires sur APT29 :
ESET a analysé pour la première fois APT29 ou Turla, en 2017, mais ils ont été très actifs - en particulier avec des campagnes de spearphishing et même de fausses applications Android - depuis l’invasion de l’Ukraine par la Russie.
