Place Maïdan, novembre 2013 : Kiev s’embrase suite au refus du gouvernement de signer un accord d’association avec l’Union européenne. Jusqu’en février 2014, la place de l’Indépendance fait l’objet d’affrontements violents entre manifestants et forces de l’ordre. Avec, à la clé, la destitution du président en fonction, Viktor Ianoukovytch. Instable, l’Ukraine bascule alors dans une crise territoriale.
Du phishing au cheval de Troie
La péninsule de Crimée se rattache à la Fédération de Russie en mars de la même année, suivie de la République populaire de Lougansk (RPL), état sécessionniste proclamé le mois suivant. Cinq ans plus tard, ces bouleversements semblent avoir un impact toujours aussi fort dans la région. Si les opérations militaires ont globalement cessé, d’autres missions plus discrètes se préparent en coulisses.
Car le dernier rapport publié par la firme de cybersécurité FireEye soupçonne la RPL d’avoir mené une campagne de cyberattaques à l’encontre du gouvernement et des forces militaires ukrainiennes, le 22 janvier 2019. Pour arriver à leurs fins, le groupe de hackers a fait appel à la technique de spear-phishing, qui consiste à dérober des données personnelles (identifiants, mot de passe, etc.) en se faisant passer pour un site de confiance. Dans notre cas, les victimes étaient savamment choisies, d’où l’ajout de « spear ».
Pour tromper la vigilance des cibles, les pirates se sont donc astucieusement cachés derrière une autre identité : un représentant de fabricant d’armes défensives britannique (Armtrac), en l’occurrence, soi-disant rencontré par des officiels Ukrainiens lors d’un meeting organisé à Astana, le 24 mai 2018. L’objet du mail envoyé — SPEC-20T-MK2-000-ISS-4.10-09-2018STANDARD — était quant à lui accompagné d’une pièce jointe à télécharger.
« Armtrac-Commercial.7z », du nom de la fameuse pièce jointe, contenait alors un fichier Zip lui-même composé de deux documents Word et d’un fichier LNK malveillant. Une fois le tout exécuté sur l’ordinateur d’une victime, les attaquants sont parvenus à introduire plusieurs logiciels malveillants, tels que des Trojan RAT, ou Cheval de Troie d’accès à distance, bien connus du secteur (QuasarRAT et RatVermin).
Une force de frappe non négligeable
L’occasion pour eux d’installer des portes dérobées et de siphonner des données sensibles présentes dans les systèmes, dans l’objectif, notamment, de surveiller les activités politiques et militaires du pays. Si l’influence nationale et internationale de la République populaire de Lougansk n’atteint pas celle de nations plus puissantes, comme la France ou le Royaume-Uni, sa force de frappe n’en reste pas moins non négligeable au regard du succès de cette cyberattaque, bien qu’elle ne lui soit pas officiellement attribuée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !