Le groupe menaçant aligné sur la Russie, connu sous le nom de Wyverne d'hiver a été découvert en octobre en exploitant des vulnérabilités de script intersite (XSS) dans les serveurs de messagerie Web Roundcube à travers l'Europe – et ses victimes sont désormais révélées.
Le groupe a principalement ciblé les infrastructures gouvernementales, militaires et nationales en Géorgie, en Pologne et en Ukraine, selon le rapport du groupe Insikt de Recorded Future sur la campagne publié aujourd'hui.
Le rapport met également en évidence d’autres cibles, notamment l’ambassade d’Iran à Moscou, l’ambassade d’Iran aux Pays-Bas et l’ambassade de Géorgie en Suède.
Utilisant des techniques sophistiquées d'ingénierie sociale, l'APT (que Insikt appelle TAG-70 et également connu sous les noms de TA473 et UAC-0114) a utilisé un Exploit Zero Day de Roundcube pour obtenir un accès non autorisé à des serveurs de messagerie ciblés dans au moins 80 organisations distinctes, allant des secteurs des transports et de l'éducation aux organisations de recherche chimique et biologique.
On pense que la campagne a été déployée pour recueillir des renseignements sur les affaires politiques et militaires européennes, potentiellement pour obtenir des avantages stratégiques ou saper la sécurité et les alliances européennes, selon Insikt.
Le groupe est soupçonné de mener des campagnes de cyberespionnage au service des intérêts de la Biélorussie et de la Russie et est actif depuis au moins décembre 2020.
Les motivations géopolitiques de Winter Vivern pour le cyberespionnage
La campagne d'octobre était liée à l'activité précédente de TAG-70 contre les serveurs de messagerie du gouvernement ouzbek, rapportée par Insikt Group en février 2023.
L’une des motivations évidentes du ciblage ukrainien est le conflit avec la Russie.
« Dans le contexte de la guerre en cours en Ukraine, les serveurs de courrier électronique compromis peuvent révéler des informations sensibles concernant l'effort de guerre et la planification de l'Ukraine, ses relations et ses négociations avec ses pays partenaires alors qu'elle recherche une assistance militaire et économique supplémentaire, [ce qui] expose des tiers coopérants. avec le gouvernement ukrainien en privé et révéler des fissures au sein de la coalition soutenant l’Ukraine », note le rapport Insikt.
Dans le même temps, l'accent mis sur les ambassades iraniennes en Russie et aux Pays-Bas pourrait être lié à une volonté d'évaluer les engagements diplomatiques et les positions de politique étrangère de l'Iran, en particulier compte tenu de l'implication de l'Iran dans le soutien de la Russie dans le conflit en Ukraine.
De même, l'espionnage ciblant l'ambassade géorgienne en Suède et le ministère géorgien de la Défense découle probablement d'objectifs de politique étrangère comparables, d'autant plus que la Géorgie a redynamisé sa quête d'adhésion à l'Union européenne et à l'OTAN à la suite de l'incursion de la Russie en Ukraine au début. 2022.
Parmi les autres cibles notables figuraient des organisations impliquées dans les secteurs de la logistique et du transport, ce qui est révélateur dans le contexte de la guerre en Ukraine, car des réseaux logistiques robustes se sont révélés cruciaux pour les deux parties afin de maintenir leur capacité de combat.
La défense contre le cyberespionnage est difficile
Les campagnes de cyberespionnage se sont intensifiées : plus tôt ce mois-ci, un APT russe sophistiqué lancé une campagne d'attaque PowerShell ciblée contre l'armée ukrainienne, tandis qu'une autre APT russe, Turla, ciblait des ONG polonaises à l'aide d'un nouveau malware de porte dérobée.
L'Ukraine a également a lancé ses propres cyberattaques contre la Russie, ciblant les serveurs du fournisseur d'accès Internet moscovite M9 Telecom en janvier, en représailles à la violation de l'opérateur de téléphonie mobile Kyivstar, soutenue par la Russie.
Mais le rapport du groupe Insikt souligne qu'il peut être difficile de se défendre contre de telles attaques, en particulier dans le cas de l'exploitation d'une vulnérabilité Zero Day.
Toutefois, les organisations peuvent atténuer l’impact d’une compromission en chiffrant les e-mails et en envisageant d’autres formes de communications sécurisées pour la transmission d’informations particulièrement sensibles.
Il est également crucial de s'assurer que tous les serveurs et logiciels sont corrigés et tenus à jour, et que les utilisateurs ne doivent ouvrir que les e-mails provenant de contacts de confiance.
Les organisations doivent également limiter la quantité d'informations sensibles stockées sur les serveurs de messagerie en pratiquant une bonne hygiène et en réduisant la conservation des données, et limiter les informations et conversations sensibles à des systèmes haut de gamme plus sécurisés lorsque cela est possible.
Le rapport note également que la divulgation responsable des vulnérabilités, en particulier celles exploitées par les acteurs APT tels que TAG-70, est cruciale pour plusieurs raisons.
Un analyste du renseignement sur les menaces du groupe Insikt de Recorded Future a expliqué par courrier électronique que cette approche garantit que les vulnérabilités sont corrigées et corrigées rapidement avant que d'autres ne les découvrent et en abusent, et permet de contenir les exploits par des attaquants sophistiqués, empêchant ainsi des dommages plus larges et plus rapides.
"En fin de compte, cette approche répond aux risques immédiats et encourage des améliorations à long terme des pratiques mondiales de cybersécurité", a expliqué l'analyste.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
- :possède
- :est
- $UP
- 2020
- 2022
- 2023
- 7
- 80
- a
- capacité
- abus
- accès
- Selon
- à travers
- infection
- activité
- acteurs
- Supplémentaire
- adresses
- avantages
- Affaires
- conséquences
- à opposer à
- Tous
- Alliances
- aussi
- alternative
- montant
- analyste
- et les
- Une autre
- une approche
- APT
- SONT
- AS
- Assistance
- At
- attaquer
- Attaques
- détourné
- basé
- BE
- était
- before
- La Biélorussie
- tous les deux
- Des deux côtés
- violation
- plus large
- by
- Appels
- Campagne
- Campagnes
- CAN
- maisons
- la chimie
- coalition
- Venir
- Communications
- comparable
- compromis
- Compromise
- conduite
- conflit
- considérant
- Contacts
- CONFINEMENT
- contexte
- conversations
- coopérant
- pourriez
- d'exportation
- crucial
- cyber
- cyber-attaques
- Cybersécurité
- données
- Décembre
- Défendre
- Défense
- déployé
- difficile
- divulgation
- découvrez
- découvert
- Plus tôt
- "Early Bird"
- Économique
- Éducation
- effort
- emails
- permet
- encourage
- engagements
- ENGINEERING
- assurer
- Assure
- notamment
- espionnage
- Europe
- du
- Union européenne
- évaluer
- expliqué
- exploitation
- Exploités
- exploitant
- exploits
- Février
- bats toi
- Focus
- Pour
- étranger
- politique extérieure
- document
- De
- avenir
- Gain
- recueillir
- géopolitique
- État de la Georgie
- Géorgien
- Global
- Bien
- Gouvernement
- Gouvernements
- Réservation de groupe
- nuire
- Vous avez
- Surbrillance
- HTTPS
- Immédiat
- Impact
- améliorations
- in
- inclus
- Y compris
- secteurs
- d'information
- Infrastructure
- Intelligence
- intérêts
- Internet
- développement
- impliqué
- participation
- l'Iran
- iranien
- IT
- SES
- Janvier
- jpg
- conservé
- connu
- au
- lumière
- comme
- LIMIT
- lié
- logistique
- long-term
- principalement
- Maintenir
- Mai..
- Adhésion
- Militaire
- ministère
- Réduire les
- Breeze Mobile
- téléphone mobile
- Mois
- PLUS
- Moscou
- motivation
- motivations
- motif
- Nationales
- négociations
- Netherlands
- réseaux
- ONG
- notable
- noté
- maintenant
- objectifs
- évident
- octobre
- of
- on
- en cours
- uniquement
- ouvert
- opérateur
- or
- organisations
- Autres
- propre
- particulièrement
- les parties
- les partenaires
- Téléphone
- et la planification de votre patrimoine
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Pologne
- politique
- Polonais
- politique
- positions
- possible
- l'éventualité
- PowerShell
- pratiques
- prévention
- précédent
- Probablement
- prouvé
- de voiture.
- poursuite
- vite.
- rampe
- allant
- Nos tests de diagnostic produisent des résultats rapides et précis sans nécessiter d'équipement de laboratoire complexe et coûteux,
- Les raisons
- enregistré
- rectifié
- réduire
- en ce qui concerne
- Les relations
- libéré
- rapport
- Signalé
- un article
- responsables
- restreindre
- rétention
- révéler
- risques
- robuste
- Russie
- russe
- s
- Secteurs
- sécurisé
- sécurité
- Cherche
- sensible
- séparé
- Serveurs
- service
- Prestataire de services
- service
- plusieurs
- devrait
- Accompagnements
- depuis
- Réseaux sociaux
- Ingénierie sociale
- Logiciels
- sophistiqué
- Sponsorisé
- découle
- stockée
- Stratégique
- tel
- Appuyer
- Suède
- Système
- des campagnes marketing ciblées,
- ciblage
- objectifs
- techniques
- télécommunications
- dire
- qui
- Le
- Pays-Bas
- leur
- Les
- Ces
- Troisièmement
- des tiers
- this
- ceux
- pensée
- menace
- Attaché
- à
- aujourd'hui
- transmission
- transport
- transport
- confiance
- Ukraine
- Ukrainien
- En fin de compte
- non autorisé
- Saper
- union
- mise à jour
- d'utiliser
- utilisateurs
- en utilisant
- Ouzbékistan
- via
- victimes
- vulnérabilités
- vulnérabilité
- guerre
- Guerre en Ukraine
- était
- chaque fois que
- qui
- tout en
- Hiver
- comprenant
- dans les
- XSS
- zéphyrnet
