Google vient de repérer une nouvelle campagne de cyberespionnage russe. Dans un billet de blog publié ce 18 janvier 2024, les experts en cyber du groupe dévoilent des méthodes – assez classiques – employées par les agents du renseignement du Kremlin. Leurs cibles sont des activistes membres d’ONG, d’anciens membres de l’armée ou des responsables de l’OTAN. Les pirates seraient à la recherche d’informations, d’activités sur des déplacements liées à l’Ukraine.
Google indique que le groupe de hackers étatiques baptisé « Cold River » serait derrière cette campagne. Ces agents russes cherchent à tromper leur victime avec des méthodes de spear phishing. Concrètement, ils vont usurper l’identité de leurs proches, de leurs collègues ou d’une connaissance. Les pirates tenteront de créer un lien de confiance avant de piéger la victime.
Les dernières découvertes de Google révèlent des documents PDF inoffensifs comme point de départ de la campagne dès novembre 2022, pour inciter les cibles à ouvrir les fichiers. « Coldriver présente ces fichiers comme un nouvel article que la personne usurpée voudrait publier, sollicitant les commentaires de la cible. Lorsque l’utilisateur ouvre le PDF inoffensif, le texte apparaît crypté pour des raisons de pseudo-sécurité. »
Une méthode d’espionnage russe déjà repérée par les experts en cyber
Les hackers vont ensuite envoyer un présumé « déchiffreur », nommé « Proton-decrypter.exe », à la victime afin que celle-ci puisse ouvre le fameux article. Ce programme malveillant offre en réalité un accès à distance aux pirates.
Le choix du « Proton-decrypter.exe » est un classique de ces hackers, les chercheurs de Microsoft avaient déjà repéré des PDF stockés sur Proton Drive par ces agents du Kremlin.
Protonmail est un célèbre service de messagerie, réputé sécurisé. Il est employé par de nombreux chercheurs, journalistes ou dissidents pour limiter les fuites de données. Il permet également aux hackers d’offrir un peu de légitimité à leur couverture.
En décembre dernier, les gouvernements britannique et américain ont sanctionné deux membres russes de Coldrive, Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets, pour leur implication dans la conduite des opérations de spear phishing.
L’entreprise française de cybersécurité Sekoia a rendu publics les domaines de phishing utilisés par ces pirates. « Calisto (autre nom de Coldriver) contribue aux efforts des services de renseignement russes pour soutenir les intérêts stratégiques de Moscou », a déclaré la société. « Il semble que l’enregistrement de domaine était l’une des principales compétences [de Korinets], utilisée par les services secrets russes, soit directement, soit par le biais d’une relation contractuelle. » Les noms et les visages de nombreux hackers du Kremlin ne sont plus des secrets bien gardés.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.