L’Ukraine doit faire face à des cyberattaques très intenses lancées contre des infrastructures critiques et des institutions gouvernementales. Ces campagnes agressives sont principalement menées par Sednit et Gamaredon, deux cyber-acteurs liés à la Russie, qui ciblent régulièrement aussi des pays de l’UE. Voilà ce qui ressort du nouveau rapport APT de la firme de cybersécurité ESET Research.
ESET Research a analysé les activités des agresseurs entre octobre 2024 et mars de cette année. Le mal famé groupe Sandworm Gamaredon s’est avéré l’acteur le plus actif ciblant l’Ukraine, en dissimulant mieux ses logiciels malveillants et en introduisant PteroBox, un voleur de fichiers qui abuse du programme de partage Dropbox. ‘L’objectif du groupe était de compromettre l’infrastructure énergétique de l’Ukraine, les agresseurs abusant de la politique de groupe Active Directory des organisations touchées’, a déclaré Jean-Ian Boutin, Director of Threat Research chez ESET.
Appât
Les cybercriminels de Sednit ont, à leur tour, perfectionné l’exploitation des vulnérabilités dites de ‘cross-site scripting’ dans les services de messagerie web. ESET a découvert que le groupe avait abusé avec succès d’une faille ‘zero-day’ dans le serveur de messagerie MDaemon contre des entreprises ukrainiennes. Plusieurs attaques de Sednit ciblant des entreprises de défense en Bulgarie et en Ukraine ont utilisé des campagnes de phishing par courrier électronique comme appât.
RomCom, un troisième groupe lié à la Russie, est lui aussi parvenu à exploiter de dangereuses vulnérabilités ‘zero-day’ visant le navigateur Mozilla Firefox et le système d’exploitation Windows de Microsoft.