Agrandir / Raffinerie de pétrole de Fawley par un beau jour.
Getty Images
L’un des groupes de piratage les plus actifs du Kremlin ciblant l’Ukraine a récemment tenté de pirater une grande société de raffinage de pétrole située dans un pays de l’OTAN. L’attaque est un signe que le groupe étend sa collecte de renseignements alors que l’invasion de son pays voisin par la Russie se poursuit.
La tentative de piratage a eu lieu le 30 août et a échoué, ont déclaré mardi des chercheurs de l’unité 42 de Palo Alto Networks. Le groupe de piratage – suivi sous divers noms, notamment Trident Ursa, Gamaredon, UAC-0010, Primitive Bear et Shuckworm – a été attribué par le service de sécurité ukrainien au service fédéral de sécurité russe.
Viser le secteur de l’énergie
Au cours des 10 derniers mois, l’Unité 42 a cartographié plus de 500 nouveaux domaines et 200 échantillons et autres miettes de pain que Trident Ursa a laissés dans des campagnes de phishing visant à infecter des cibles avec des logiciels malveillants voleurs d’informations. Le groupe utilise principalement des e-mails avec des leurres en ukrainien. Plus récemment, cependant, certains échantillons montrent que le groupe a également commencé à utiliser des leurres en anglais.
“Nous estimons que ces échantillons indiquent que Trident Ursa tente de renforcer sa collecte de renseignements et son accès au réseau contre les alliés ukrainiens et de l’OTAN”, ont écrit les chercheurs de la société.
Parmi les noms de fichiers utilisés dans l’attaque infructueuse figuraient : MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar et List of requirements for the provision of military Humanitarian assistance to Ukraine.lnk.
Le rapport de mardi n’a pas nommé la compagnie pétrolière ciblée ni le pays où se trouvait l’installation. Ces derniers mois, des responsables alignés sur l’Occident ont émis des avertissements selon lesquels le Kremlin avait jeté son dévolu sur des sociétés énergétiques dans des pays opposés à la guerre de la Russie contre l’Ukraine.
La semaine dernière, par exemple, le directeur de la cybersécurité de la National Security Agency, Rob Joyce, a déclaré qu’il était préoccupé par les cyberattaques importantes de la Russie, en particulier sur le secteur mondial de l’énergie, selon CyberScoop.
Publicité
“Je n’encouragerais personne à être complaisant ou à ne pas se soucier des menaces qui pèsent sur le secteur de l’énergie à l’échelle mondiale”, a déclaré Joyce, selon CyberScoop. « Comme le [Ukraine] la guerre progresse, il y a certainement des opportunités d’augmenter la pression sur la Russie au niveau tactique, ce qui va les amener à réévaluer, à essayer différentes stratégies pour s’en sortir.
L’année en revue annuelle de la NSA a noté que la Russie a déclenché au moins sept logiciels malveillants distincts conçus pour détruire définitivement les données. L’un de ces essuie-glaces a détruit des milliers de modems satellites utilisés par les clients de la société de communication Viasat. Parmi les modems endommagés se trouvaient des dizaines de milliers de terminaux en dehors de l’Ukraine qui prennent en charge les éoliennes et fournissent des services Internet aux particuliers.
Il y a dix jours, le Premier ministre norvégien Jonas Gahr Støre a averti que la Russie constituait une “menace réelle et sérieuse… pour l’industrie pétrolière et gazière” d’Europe occidentale alors que le pays tentait de briser la volonté des alliés ukrainiens.
Les techniques de piratage de Trident Ursa sont simples mais efficaces. Le groupe utilise de multiples moyens pour dissimuler les adresses IP et autres signatures de son infrastructure, les documents de phishing avec de faibles taux de détection parmi les services anti-phishing, et les documents HTML et Word malveillants.
Les chercheurs de l’unité 42 ont écrit :
Trident Ursa reste un APT agile et adaptatif qui n’utilise pas de techniques trop sophistiquées ou complexes dans ses opérations. Dans la plupart des cas, ils s’appuient sur des outils et des scripts accessibles au public, ainsi que sur une quantité importante d’obfuscation, ainsi que sur des tentatives de phishing de routine pour exécuter leurs opérations avec succès.
Les opérations de ce groupe sont régulièrement repérées par des chercheurs et des organisations gouvernementales, et pourtant ils ne semblent pas s’en soucier. Ils ajoutent simplement une obfuscation supplémentaire, de nouveaux domaines et de nouvelles techniques et réessayent, souvent même en réutilisant des échantillons précédents.
Fonctionnant continuellement de cette manière depuis au moins 2014 sans aucun signe de ralentissement tout au long de cette période de conflit, Trident Ursa continue de réussir. Pour toutes ces raisons, ils demeurent une menace importante pour l’Ukraine, une menace contre laquelle l’Ukraine et ses alliés doivent activement se défendre.
Le rapport de mardi fournit une liste de hachages cryptographiques et d’autres indicateurs que les organisations peuvent utiliser pour déterminer si Trident Ursa les a ciblés. Il fournit également des suggestions sur les moyens de protéger les organisations contre le groupe.