La cyberguerre s’intensifie en Ukraine. Des campagnes d’hameçonnage de masse, attribuées à des ennemis du pays, ont été observées depuis au moins janvier 2022 par son Computer Emergency Response Team (Cert-UA), mais aussi par des cyberexperts étrangers.
Le Cert-UA, l’homologue de l’Anssi en Ukraine, a détecté depuis janvier 2022 plusieurs campagnes massive d’hameçonnage, d’origine russe semble-t-il, dont certaines ciblent les courriels et les comptes Facebook (Meta) du personnel militaire ukrainien et des personnes proches ou apparentées.
Dans ce cas, une fois que le compte est compromis, les assaillants ont accès à tous les messages via le protocole IMAP. Plus tard, les agresseurs utilisent les coordonnées du carnet d’adresses de la victime pour envoyer les e-mails d’hameçonnage de masse du type :
« Cher utilisateur ! Vos coordonnées sont compromises. Vous êtes un robot spam ou non. Veuillez cliquer sur le lien ci-dessous et vérifier vos coordonnées. Sinon, votre compte sera irrémédiablement supprimé. merci pour votre compréhension ».
Telegram et d’autres messageries relaieraient aussi des campagnes de spams
Telegram et d’autres messageries feraient aussi l’objet d’intenses campagnes de spams pour répandre de fausses rumeurs et accélérer des tentatives d’hameçonnage de masse. Les attaquant envoient de faux mails au nom du service de sécurité ukrainien (SBU). Selon eux, cette entité officielle exigerait que les Ukrainiens suivent le lien pour « passer l’inspection » avec un lien pointant vers ce qui ressemble à l’adresse d’un faux site du SBU, le vrai était injoignable au moment de rédiger l’article ce 25 février…
Le groupe UNC1151 basé à Minsk serait derrière ces activités selon le Cert-UA. Certains de ses membres seraient selon lui des fonctionnaires du Ministère de la défense de la République du Bélarus.
Usurpation de l’identité du Service national de santé de l’Ukraine
Fin janvier 2022, le site Facebook du CERT-UA mentionnait déjà la diffusion de courriels usurpant l’identité du Service national de santé de l’Ukraine. A l’occasion de ces tentatives d’hameçonnage de masse, les citoyens ukrainiens ont reçu des courriels contenant des liens vers les archives au format zip contenant un malware et deux fichiers de balises identiques.
En cas d’ouverture, l’ordinateur de la victime est aussitôt infecté via Powershell, ce qui l’amènera à télécharger et à exécuter le programme malveillant OutSteel selon le CERT-UA. Ce programme assurera la recherche et le vol des documents sur l’ordinateur de la victime, ainsi que le téléchargement et l’exécution du malware SaintBot. Le CERT-UA estime que l’activité mentionnée visaient déjà des organisations étatiques ukrainiennes dès avril 2021.