Sommaire
Une attaque de grande envergure menée par les cyber espions russes
Le 11 octobre, le groupe Winter Vivren, composé de cyber espions russes, a profité d’une faille dans le service de messagerie RoundCube pour mener une attaque contre plus de quatre-vingts entités en Europe et en Asie Centrale. L’objectif était de collecter des données gouvernementales et militaires, comme l’a révélé le groupe Insikt de la société Recorded Future. Les pays les plus touchés par cette cyberattaque sont l’Ukraine, la Géorgie et la Pologne.
Une escalade des cyberattaques depuis le début du conflit en Ukraine
Les cyber espions russes et biélorusses du groupe Winter Vivern ont ciblé plus de quatre-vingts organisations en Europe et en Asie Centrale utilisant le serveur de messagerie RoundCube. En exploitant des failles de sécurité XSS (cross-site scripting) dans le système de messagerie, ils ont pu accéder aux serveurs de messagerie de manière non autorisée et contourner les mesures de sécurité. D’autres secteurs nationaux ont également été visés, notamment les transports, l’éducation, la recherche en chimie et en biologie.
Les pays les plus touchés en Europe sont l’Ukraine (31 %), la Géorgie (14 %) et la Pologne (12 %). La France, le Royaume-Uni, l’Allemagne et la République tchèque ont également été touchés dans une moindre mesure. Les ambassades d’Iran à Moscou et aux Pays-Bas, ainsi que l’ambassade de Géorgie en Suède, ont également été victimes de cette attaque.
Des attaques sophistiquées visant des informations sensibles
Ces cyberattaques de type zéro-day ont permis aux cyber espions d’injecter du code malveillant pour collecter et extraire des informations sur les activités politiques et militaires des pays ciblés. L’objectif était d’accéder à des données concernant l’effort de guerre de l’Ukraine, ses relations diplomatiques et ses partenaires de coalition, afin de créer des avantages stratégiques ou de fragiliser les alliances européennes.
Cinq jours après la découverte de l’attaque, RoundCube a publié une mise à jour de sécurité pour contrer cette menace. Recommandé par l’État français pour ses administrations, ce service a déjà été visé par des groupes russes tels que Blue Delta (APT28) et Sandworm par le passé.
Une menace persistante nécessitant une vigilance accrue
Actif depuis décembre 2020, le groupe Winter Vivern continue ses attaques en visant également le serveur de messagerie Zimbra pour infiltrer des administrations en Moldavie et en Tunisie depuis 2022. Face à cette menace croissante, les experts recommandent aux utilisateurs de maintenir à jour leurs logiciels de messagerie et de renforcer leur cybersécurité, surtout en période de conflit.
Source : CNEWS
