Depuis le début de l’invasion russe de l’Ukraine, la Russie a utilisé toutes sortes de tactiques, y compris la cyberguerre, pour faire pencher la balance en sa faveur. Désormais, selon des chercheurs en sécurité de l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA), des pirates informatiques russes du groupe APT28 ciblent les employés du gouvernement ukrainien avec des logiciels malveillants déguisés en mises à jour Windows pour voler des informations vitales.
Ces attaques impliquent des pirates russes qui envoient des e-mails malveillants contenant des instructions sur la façon de mettre à jour Windows comme défense contre les cyberattaques. Cependant, au lieu de fournir des instructions légitimes, l’e-mail contient une commande PowerShell qui télécharge un script PowerShell. Ce script simule ensuite une fausse mise à jour Windows tout en téléchargeant une deuxième charge utile en arrière-plan, qui est un outil qui récolte et envoie des données à une API de service Mocky via une requête HTTP. De plus, pour rendre ces e-mails malveillants plus crédibles, les attaquants ont également créé de fausses adresses e-mail @outlook.com en utilisant les vrais noms des administrateurs système.
Afin d’empêcher les employés d’être victimes de cette attaque, le CERT-UA a conseillé à tous les administrateurs système de restreindre la possibilité de lancer PowerShell sur les ordinateurs critiques et de surveiller le trafic réseau pour les connexions à l’API de service Mocky.
Pas la seule cyberattaque contre l’Ukraine
La guerre entre la Russie et l’Ukraine dure depuis plus d’un an maintenant, et ce n’est pas la première fois que le groupe APT28, parrainé par l’État, est lié à des cyberattaques contre l’Ukraine. En fait, le groupe d’analyse des menaces de Google a récemment signalé que plus de 60 % du total des cyberattaques et des e-mails de phishing ciblant l’Ukraine provenaient de Russie, avec APT28 derrière une partie importante d’entre eux.
Alors que la guerre continue de se prolonger et que l’Ukraine parvient à tenir bon, la Russie lancera probablement de nouvelles formes d’attaques pour affaiblir les défenses de l’Ukraine. Par conséquent, les entreprises et les entités gouvernementales doivent former leurs employés pour identifier et signaler les e-mails suspects et maintenir tous les logiciels à jour.
