Plusieurs gouvernements européens se retrouvent en première ligne face à des attaques menées par un groupe de hackers russe : Winter Vivern. Une cellule spécialisée dans l'espionnage numérique.
La sécurité numérique en Europe se voit une fois encore menacée. Après un bilan sur la cybersécurité en 2022 peu rassurant, la tendance à l'explosion des cyberattaques continue sur sa lancée. Cette fois-ci, nous passerons en revue le cas des offensives menées par le groupe Winter Vivern, qui s'acharne actuellement à cibler des entités gouvernementales européennes. Leur technique ? Depuis le 11 octobre, ils exploitent une faille zero-day de Web Roundcube, un logiciel de messagerie sous licence libre GPL, largement utilisé dans des institutions officielles.
Winter Vivern, une team d'experts
Loin d'être des hackers à la petite semaine, Winter Vivern (connu aussi sous le dénominatif TA473) montrent que leurs compétences en matière d'ingénierie sociale et de phishing ont de quoi inquiéter. Leur méthodologie passe en priorité par l'injection de code malveillant en JavaScript et l'utilisation de messages en HTML et de fichiers SVG soigneusement préparés.
Pour pénétrer les systèmes visés, ils concoctent des e-mails imitant à la perfection des messages de notification de l'équipe Outlook. Les destinataires déclenchent automatiquement dès l'ouverture du message un payload (élément d'un logiciel malveillant qui exécute une action nuisible) qui exploite directement la vulnérabilité des serveurs de Web Roundcube. L'entreprise n'a pas longtemps à réagir, et a réglé cette faiblesse interne le 16 octobre. Des correctifs de sécurité ont été déployés afin de colmater la faille XSS (Cross-Site Scripting), identifiée sous le nom de code CVE-2023-5631. Celle-ci a été initialement repérée par une équipe de chercheurs d'ESET, une entreprise slovaque de cybersécurité.
Grâce à cette technique, Winter Vivern est parvenue à dérober une bonne quantité de mail grâce aux serveurs compromis. Les experts d'ESET précisent : «
En envoyant un email spécialement conçu, les attaquants peuvent charger du code JavaScript dans la fenêtre du navigateur de l'utilisateur Roundcube ». Ce code JavaScript, lorsqu'il est déployé, peut lister et extraire le contenu automatiquement des messages électroniques. Une grave menace, surtout lorsqu'on connaît les organisations visées par le groupe.
Une menace globale
La méthodologie est déjà inquiétante, puisque très ingénieuse. Ce qui l'est encore plus, ce sont les cibles qui intéressent Winter Vivern. Le groupe n'est pas nouveau, et est connu depuis le mois d'avril 2021. PME, entreprises ou autres organisations privées ne sont pas leur priorité. Ils sont plutôt connus pour avoir infiltré des entités gouvernementales comme le Vatican, l'Ukraine, la Lituanie l'Inde ou l'Italie. Les objectifs de cette cellule seraient étroitement liés aux intérêts et activités de la Russie et de la Biélorussie, selon les chercheurs de SentinelLabs.
Récemment, des attaques similaires ont été menées par d'autres hackers, eux aussi russes, le groupe APT28, que l'on sait lié au GRU (Direction principale du renseignement de l'état-major des forces armées russes). Celles-ci ciblaient particulièrement des serveurs présents en Ukraine. Ces différentes intrusions en disent long sur le contexte géopolitique actuel, et notamment sur les très fortes tensions entre l'OTAN et notre grand voisin, la Russie. La cyberguerre ne tue pas, tout du moins directement, mais c'est une réalité urgente à laquelle doivent faire face les nations impliquées.
Source : Bleeping Computer
