Le Threat Analysis Group (TAG), unité spécialisée de Google dans la détection des failles des systèmes d’information, a identifié des menaces issues de groupes criminels exploitant le conflit en Ukraine. Ces attaques proviennent de Curious Gorge, groupe chinois, Coldriver, un acteur pirate russe ou Ghostwriter, un groupe biélorusse nouvellement crée.
Le conflit en Ukraine accroit comme prévu les cyberattaques de pirates russes et autres nations. Le TAG a observé une augmentation du nombre d’acteurs impliqués dans les offensives malveillantes sous la forme de campagnes de phishing (hameçonnage) ou de malwares. Il s’agit d’attaques appuyées par les gouvernements russes et chinois, la Corée du Nord ou l’Iran. Le vecteur de ces menaces reste classique, via des messages ou des liens frauduleux.
Ces 2 dernières semaines, le TAG a identifié trois groupes ciblant, notamment, un centre de référence de l’OTAN.
Curious Gorge, groupe lié potentiellement à la Chine, a engagé des campagnes malveillantes en Ukraine, Russie, Mongolie et Kazakhstan. Google assure que ces attaques ne touchent pas ses produits et services et que la firme continue à alerter les organisations victimes.
Coldriver, un groupe russe autrement appelé Calisto, a lancé une campagne de phishing ciblant des organisations non gouvernementales et militaires, des think tanks, un entrepreneur ukrainien lié à la défense et un centre d’excellence de l’OTAN. Ces campagnes ont utilisé des comptes Gmail nouvellement crées et autres messageries. Le taux de réussite de ces différentes attaques est à ce jour inconnu. Les domaines concernés par ces menaces sont les suivants : protect-link.online, drive-share.live, protection-office.live, proton-viewer.com.
Ghostwriter (ou UNC1151),est un acteur malveillant Biélorusse qui a mené récemment des campagnes de phishing visant des organisations gouvernementales et militaires, polonaises et ukrainiennes. Le TAG a également identifié des campagnes qui ciblent des utilisateurs de webmail parmi lesquels meta.ua, rambler.ru ou encore ukr.net et yandex.ru.
Le Tag a aussi identifié des attaques Ddos bloquant de nombreux sites, comme le Ministère ukrainien des affaires étrangères
Des solutions et conseils pour se protéger des cyberattaques
Face aux risques, il importe de revenir aux fondamentaux en matière de cybersécurité. Les mesures de prévention doivent s’inscrire dans une politique globale de sécurité pour toutes les organisations de travail.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise la mise en œuvre de 5 mesures préventives prioritaires. Il s’agit du renforcement de l’authentification sur les systèmes d’information, de l’accroissement de la supervision de sécurité, de la rédaction d’un liste de priorité des services critiques. Il faut ajouter à cela les règles impératives de sauvegarde hors-ligne des données et des applications critiques ainsi que de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.
Huit analystes de Forrester proposent d’analyser et mettre en place des mesures pour protéger la supply-chain, tester les plans de reprise d’activité, etc.
Face aux cyberisques liés au conflit en cours entre l’Ukraine et la Russie, la mise en place des ces mesures est fortement conseillée.