Des pirates informatiques russes ciblent les critiques du Kremlin dans le monde entier et dénoncent une campagne de phishing agressive
Les pirates informatiques liés aux services de renseignements russes ciblent activement les détracteurs du Kremlin dans le monde entier au moyen de campagnes de phishing sophistiquées. Cette opération de cyberespionnage alarmante a récemment été révélée par les groupes de défense des droits numériques Citizen Lab et Access Now, et elle met en évidence la menace croissante des cyberattaques à l’approche de l’élection présidentielle américaine de 2024.
Ces attaques de phishing, qui ont débuté en 2022, ont compromis un large éventail d'individus et d'organisations, notamment des personnalités de l'opposition russe en exil, d'anciens responsables politiques américains, des universitaires, des employés d'organisations à but non lucratif américaines et européennes et divers médias. Les pirates informatiques ont même atteint des personnes résidant encore en Russie, les mettant en danger. L'objectif principal de ces attaques semble être d'infiltrer les vastes réseaux de contacts des victimes, afin d'accéder à des informations sensibles.
Table des matières
Tactiques sophistiquées de phishing par usurpation d'identité et tromperie
Ce qui rend cette campagne de phishing particulièrement dangereuse est sa méthode consistant à se faire passer pour des personnes connues des victimes, augmentant ainsi la probabilité que le courrier électronique soit ouvert et approuvé. Cette tactique trompeuse distingue cette opération des tentatives de phishing classiques et a conduit à des violations réussies.
Citizen Lab a identifié deux groupes de hackers russes à l'origine de ces attaques. Le premier, Cold River, a été lié au Service fédéral de sécurité russe (FSB) par les services de renseignement occidentaux. Le deuxième groupe, Coldwastrel, est une entité plus récente qui semble également être en phase avec les efforts des services de renseignement russes.
Le rôle de Citizen Lab et d'Access Now dans la découverte de l'attaque
Malgré les démentis répétés de la Russie quant à son implication dans de telles activités, notamment celles liées à Cold River, les preuves présentées par Citizen Lab dressent un tableau différent. Il convient de noter que l’une des cibles était un ancien ambassadeur des États-Unis en Ukraine, qui a été approché par le biais d’une tentative de phishing crédible se faisant passer pour un autre ancien ambassadeur qu’il connaissait.
Les courriels de phishing incluaient généralement une pièce jointe PDF qui, une fois cliquée, redirigeait le destinataire vers une fausse page de connexion Gmail ou ProtonMail. Les victimes qui saisissaient leurs identifiants sur ces faux sites accordaient sans le savoir aux pirates l'accès à leurs comptes de messagerie et à leurs contacts. Malheureusement, plusieurs personnes ont été victimes de cette tactique.
Comment se sont déroulées ces attaques de phishing
Dmitry Zair-Bek, le chef de file du groupe de défense des droits de l'homme russe First Department, a souligné l'efficacité de cette attaque simple mais puissante. La nature des courriels, qui semblent provenir de collègues, les rend particulièrement difficiles à détecter comme frauduleux. Selon Zair-Bek, le nombre de personnes ciblées est à deux chiffres, la plupart des incidents ayant eu lieu cette année.
Citizen Lab a souligné les graves conséquences de ces attaques, en particulier pour les personnes ayant des liens avec les communautés à haut risque en Russie. Pour certains, un compromis réussi pourrait entraîner de graves conséquences, y compris l’emprisonnement.
Cold River est rapidement devenu l'un des groupes de piratage informatique russes les plus prolifiques depuis sa première apparition sur les radars des services de renseignement en 2016. Après l'invasion de l'Ukraine par la Russie, le groupe a intensifié ses activités, ce qui a conduit à l'imposition de sanctions à certains de ses membres par les autorités américaines et britanniques en décembre.