Un groupe de menace connu sous le nom de Winter Vivern, qui est aligné sur la Russie, a été découvert en train d’exploiter des vulnérabilités de script entre sites (XSS) dans les serveurs de messagerie Web Roundcube à travers l’Europe en octobre – et maintenant ses victimes se font connaître.
Selon le rapport du groupe Insikt de Recorded Future sur la campagne, le groupe a principalement ciblé les gouvernements, les militaires et les infrastructures nationales en Géorgie, en Pologne et en Ukraine. Le rapport a également mis en évidence d’autres cibles, dont l’ambassade d’Iran à Moscou, l’ambassade d’Iran aux Pays-Bas et l’ambassade de Géorgie en Suède.
Utilisant des techniques sophistiquées d’ingénierie sociale, le groupe APT (que Insikt appelle TAG-70 et qui est également connu sous les noms TA473 et UAC-0114) a utilisé une faille zero-day de Roundcube pour accéder de manière non autorisée aux serveurs de messagerie ciblés dans au moins 80 organisations distinctes, allant des secteurs des transports et de l’éducation aux organisations de recherche chimique et biologique.
La campagne aurait été déployée pour recueillir des renseignements sur les affaires politiques et militaires européennes, potentiellement pour obtenir des avantages stratégiques ou saper la sécurité et les alliances européennes, selon Insikt.
Le groupe est soupçonné de mener des campagnes de cyberespionnage servant les intérêts de la Biélorussie et de la Russie, et est actif depuis au moins décembre 2020.
Les motivations géopolitiques de Winter Vivern pour le cyberespionnage
La campagne d’octobre était liée à l’activité antérieure de TAG-70 contre les serveurs de messagerie gouvernementaux de l’Ouzbékistan, rapportée par le groupe Insikt en février 2023.
Une motivation évidente pour le ciblage de l’Ukraine est le conflit avec la Russie.
“En ce qui concerne la guerre en cours en Ukraine, les serveurs de messagerie compromis peuvent révéler des informations sensibles concernant les efforts de guerre et la planification de l’Ukraine, ses relations et ses négociations avec ses pays partenaires alors qu’elle cherche une aide militaire et économique supplémentaire, exposer des tiers coopérant avec le gouvernement ukrainien de manière privée et révéler des fissures au sein de la coalition soutenant l’Ukraine”, note le rapport Insikt.
La focalisation sur les ambassades iraniennes en Russie et aux Pays-Bas pourrait également être liée à une volonté d’évaluer les engagements diplomatiques en cours de l’Iran et ses positions en matière de politique étrangère, notamment compte tenu de l’implication de l’Iran dans le soutien de la Russie dans le conflit en Ukraine.
De même, l’espionnage visant l’ambassade de Géorgie en Suède et le ministère de la Défense géorgien découle probablement d’objectifs similaires liés à la politique étrangère, notamment parce que la Géorgie a relancé sa demande d’adhésion à l’Union européenne et à l’OTAN à la suite de l’incursion de la Russie en Ukraine début 2022.
D’autres cibles notables comprenaient des organisations impliquées dans les industries logistiques et de transport, ce qui est révélateur dans le contexte de la guerre en Ukraine, car des réseaux logistiques solides se sont révélés cruciaux pour les deux parties afin de maintenir leur capacité de combat.
La défense contre le cyberespionnage est difficile
Les campagnes de cyberespionnage se multiplient : plus tôt ce mois-ci, un APT russe sophistiqué a lancé une campagne d’attaque PowerShell ciblée contre l’armée ukrainienne, tandis qu’un autre APT russe, Turla, a ciblé des ONG polonaises à l’aide d’un malware de porte dérobée novateur.
L’Ukraine a également lancé ses propres cyberattaques contre la Russie, ciblant les serveurs du fournisseur de services Internet de Moscou, M9 Telecom, en janvier, en représailles à la violation soutenue par la Russie de l’opérateur de téléphonie mobile Kyivstar.
Cependant, le rapport du groupe Insikt souligne que se défendre contre de telles attaques peut être difficile, en particulier dans le cas de l’exploitation de vulnérabilités zero-day.
Cependant, les organisations peuvent atténuer l’impact d’une compromission en cryptant les e-mails et en envisageant d’autres formes de communications sécurisées pour la transmission d’informations particulièrement sensibles.
Il est également crucial de s’assurer que tous les serveurs et logiciels sont patchés et mis à jour, et les utilisateurs ne doivent ouvrir que les e-mails provenant de contacts de confiance.
Les organisations devraient également limiter la quantité d’informations sensibles stockées sur leurs serveurs de messagerie en adoptant de bonnes pratiques d’hygiène et en réduisant la rétention des données, et limiter les informations et les conversations sensibles à des systèmes hautement sécurisés chaque fois que possible.
Le rapport note également que la divulgation responsable des vulnérabilités, en particulier celles exploitées par des acteurs de l’APT tels que TAG-70, est cruciale pour plusieurs raisons.
Un analyste en intelligence des menaces du groupe Insikt de Recorded Future a expliqué par e-mail que cette approche permet de corriger et de remédier rapidement aux vulnérabilités avant que d’autres ne les découvrent et les exploitent, et permet de contenir les exploits par des attaquants sophistiqués, évitant ainsi des dommages plus étendus et plus rapides.
“Finalement, cette approche permet de répondre aux risques immédiats et encourage les améliorations à long terme des pratiques mondiales en matière de cybersécurité”, explique l’analyste.
Une section FAQ basée sur les principaux sujets et informations présentés dans l’article :
Q : Qu’est-ce que le groupe Winter Vivern ?
R : Winter Vivern est un groupe de menace qui est aligné sur la Russie et est connu pour exploiter des vulnérabilités de script entre sites (XSS) dans les serveurs de messagerie Web Roundcube.
Q : Quelles ont été les cibles principales du groupe Winter Vivern ?
R : Le groupe Winter Vivern a principalement ciblé les gouvernements, les militaires et les infrastructures nationales en Géorgie, en Pologne et en Ukraine. Ils ont également visé des ambassades comme l’ambassade d’Iran à Moscou, l’ambassade d’Iran aux Pays-Bas et l’ambassade de Géorgie en Suède.
Q : Comment le groupe Winter Vivern a-t-il accédé aux serveurs de messagerie ?
R : Le groupe Winter Vivern a utilisé une faille zero-day dans Roundcube, une plateforme de messagerie, pour accéder de manière non autorisée aux serveurs de messagerie ciblés.
Q : Quelles étaient les motivations géopolitiques derrière les attaques du groupe Winter Vivern ?
R : Les attaques du groupe Winter Vivern visaient à recueillir des renseignements sur les affaires politiques et militaires européennes, potentiellement pour obtenir des avantages stratégiques ou saper la sécurité et les alliances européennes. Les motivations incluent également les conflits entre la Russie et l’Ukraine, ainsi que les engagements diplomatiques de l’Iran et ses positions en matière de politique étrangère.
Q : Comment se défendre contre le cyberespionnage ?
R : Les organisations peuvent atténuer l’impact des attaques en cryptant les e-mails et en utilisant d’autres formes de communications sécurisées. Il est également crucial de veiller à ce que les serveurs et les logiciels soient régulièrement mis à jour et patchés, de limiter la quantité d’informations sensibles stockées et d’adopter de bonnes pratiques en matière d’hygiène des données. La divulgation responsable des vulnérabilités est également importante pour permettre des correctifs rapides et pour améliorer les pratiques mondiales en matière de cybersécurité.
Définitions des termes clés utilisés dans l’article :
– XSS (Cross-Site Scripting) : une vulnérabilité de sécurité qui permet aux attaquants d’injecter et d’exécuter du code malveillant dans des sites web.
– APT (Advanced Persistent Threat) : un groupe de menace sophistiqué et persistant qui cible spécifiquement des entités ou des organisations.
– Zero-day : une faille de sécurité qui n’est pas encore connue ou corrigée par les développeurs.
Liens suggérés :
– Recorded Future : principal domaine du groupe qui a rédigé le rapport mentionné dans l’article.