Des pirates du FSB russe frappent l’Ukraine depuis octobre

Russia FSB

Microsoft a déclaré aujourd’hui qu’un groupe de piratage russe connu sous le nom de Gamaredon était à l’origine d’une série d’e-mails de harponnage ciblant des entités et des organisations ukrainiennes liées aux affaires ukrainiennes depuis octobre 2021.

Relié par les services de sécurité (SSU) et secrets (SBU) ukrainiens au Service fédéral de sécurité (FSB) russe, le service de renseignement intérieur du pays, ce groupe de piratage est également suivi sous les noms d’Armageddon, Primitive Bear et ACTINIUM.

Gamaredon est actif depuis au moins une décennie et a été à l’origine de milliers d’attaques contre des organisations ukrainiennes depuis 2013.

Des chercheurs en sécurité et en menaces du Microsoft Threat Intelligence Center (MSTIC) et de la Microsoft Digital Security Unit (DSU) ont déclaré aujourd’hui que la campagne de cyberespionnage de Gamaredon était coordonnée depuis la Crimée, confirmant l’évaluation de SSU selon laquelle les pirates de Gamaredon sont des officiers du FSB de Crimée. qui s’est rangé du côté de la Russie lors de l’occupation de 2014.

« MSTIC a observé ACTINIUM ciblant des organisations en Ukraine couvrant le gouvernement, l’armée, les organisations non gouvernementales (ONG), le système judiciaire, les forces de l’ordre et les organisations à but non lucratif, avec l’intention principale d’exfiltrer des informations sensibles, de maintenir l’accès et d’utiliser l’accès acquis pour se déplacer. latéralement dans des organisations connexes », Microsoft ajoutée.

« Depuis octobre 2021, ACTINIUM a ciblé ou compromis des comptes d’organisations essentielles à la réponse d’urgence et assurant la sécurité du territoire ukrainien, ainsi que des organisations qui seraient impliquées dans la coordination de la distribution de l’aide internationale et humanitaire à l’Ukraine en cas de crise. »

Gamaredon n’est pas lié aux cyberattaques du mois dernier qui ont ciblé plusieurs agences gouvernementales et entreprises ukrainiennes avec des logiciels malveillants destructeurs d’effacement de données déguisés en rançongiciels.

Le SSU a bloqué 120 cyberattaques en janvier

L’unité 42 de Palo Alto Networks a également a publié un rapport concernant l’activité récente de ce groupe ciblant l’Ukraine et mentionnant « une tentative de compromission d’une entité gouvernementale occidentale en Ukraine le 19 janvier 2022 », via une attaque de harponnage poussant un téléchargeur de logiciels malveillants.

« Dans cette tentative, plutôt que d’envoyer un e-mail au téléchargeur directement à leur cible, les acteurs ont plutôt tiré parti d’un service de recherche d’emploi et d’emploi en Ukraine », a déclaré Unit 42.

« Compte tenu des étapes et de la livraison de précision impliquées dans cette campagne, il semble qu’il s’agisse d’une tentative spécifique et délibérée de Gamaredon de compromettre cette organisation gouvernementale occidentale. »

Les mêmes tactiques ont été décrites par l’équipe Threat Hunter de Symantec, qui a vu Gamaredon distribuer des documents Word macro-lacés lors d’attaques de harponnage qui ont commencé en juillet 2021.

Ces rapports confirment un avis publié par l’équipe ukrainienne d’intervention en cas d’urgence informatique avertissement d’attaques contre les autorités ukrainiennes.

Un jour plus tard, le SSU l’a dit bloqué plus de 120 cyberattaques ciblant les systèmes d’information des institutions de l’État en Ukraine, y compris les attaques par force brute et les logiciels malveillants.

« Le MSTIC évalue que le principal résultat des activités d’ACTINIUM est un accès persistant aux réseaux de valeur perçue à des fins de collecte de renseignements », a également déclaré Microsoft aujourd’hui.

« Malgré un déploiement apparemment large de capacités malveillantes dans la région, les activités de suivi du groupe se produisent dans des zones d’intérêt discret, indiquant un possible examen du ciblage. »