Sandworm – attaques visant l’OTAN et des membres du gouvernement ukrainien

L’entreprise de sécurité iSight a rendu publique à la fin d’octobre 2014 une campagne d’espionnage ciblé menée contre des membres du gouvernement ukrainien, de l’Union européenne ainsi que de l’OTAN, en tirant notamment parti d’une faille de Windows.34 Les autres cibles étaient une société de télécommunications française et une compagnie énergétique polonaise. L’utilisation d’une vulnérabilité jour zéro de Microsoft Windows et de Windows Server (CVE-2014-4114) atteste du très grand professionnalisme de son auteur.35

Les attaques contre des fonctionnaires du gouvernement ukrainien, incessantes depuis l’été 2014, auraient été commises grâce à l’envoi ciblé aux victimes de documents PowerPoint utilisant la faille de sécurité susmentionnée. Les premières activités du groupe d’espions identifiées par iSight remontent toutefois à 2009. Même si les centres d’intérêt et certains éléments textuels indiquent une origine russe, il n’a pas été possible dans ce cas de déterminer sans ambiguïté l’agresseur.

Attaques présumées contre des sociétés israéliennes

A fin juillet 2014, le journaliste indépendant Brian Krebs a publié qu’en 2011 et en 2012, des documents ayant trait au Dôme de fer, le système de protection anti-missile israélien, avaient été dérobés à plusieurs reprises.36 Krebs se référait à l’agence de sécurité américaine CyberESI, qui a examiné la campagne. Trois fabricants d’armes israéliens seraient concernés – Rafael Advanced Defense Systems, Israel Aerospace Industries et le groupe Elisra. Les soupçons se sont portés sur le groupe de cyberespions APT1, aussi connu sous le nom d’Unité 61398 de l’armée populaire de Chine. Les entreprises touchées n’ont pas confirmé les attaques.

Autorité de sûreté nucléaire américaine

La Commission de réglementation nucléaire des Etats-Unis aurait subi, ces trois dernières années, au moins trois cyberattaques réussies. Une implication étatique est soupçonnée. Dans deux cas, les traces remonteraient à un pays précis, dont le nom n’a toutefois pas été dévoilé. Selon Nextgov37, des méthodes usuelles comme le phishing et le spear-phishing ont été employées. Il est intéressant de noter que pour la troisième agression, le compte de messagerie d’un collaborateur avait servi à transmettre un fichier PDF compromis à seize autres collaborateurs. Il est d’autant plus difficile au destinataire de reconnaître un courriel malveillant. Il s’agit d’une astuce fréquente pour accéder à des ordinateurs «intéressants» d’une entreprise, à partir de postes de travail plus faciles à infiltrer.

0 Commentaire

Laissez une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*