Le cybergang pro-russe Conti à la manoeuvre pour déstabiliser l'Ukraine

Les cyberattaques ciblant l'Ukraine se sont intensifiées ces derniers mois, sans pour autant provoquer de conséquences graves. Ces opérations de déstabilisation ont été attribuées au cybergang pro-russe Conti et ses affiliés.

La guerre en Ukraine ne se joue bien sûr pas que sur le terrain militaire avec ses armes plus ou moins conventionnelles mais malheureusement dévastatrices. C'est aussi sur le plan cyber que la bataille fait rage, avec un soutien de poids pour le Kremlin, à savoir le cybergang pro-russe Conti. Ce dernier avait d'ailleurs dû faire faire face au leak de nombreuses conversations internes et autres renseignements précieux en février dernier et menacé de représailles l'Ukraine et plusieurs de ses infrastructures critiques. La contre-offensive semble bien avoir eu lieu. Google explique ainsi dans un billet de blog que son équipe de chercheurs TAG, spécialisés dans le suivi des acteurs de la menace, a identifié plusieurs campagnes malveillantes ayant visé l'Ukraine (ONG, agences gouvernementales, hôtels,...) entre avril et août 2022. Une situation suivie aussi de près par le CERT-UA qui a identifié les actions du cybergang en tant que UAC-0098.

« Certains des membres de l'UAC-0098 sont d'anciens membres de Conti qui utilisent maintenant leurs techniques sophistiquées pour cibler l'Ukraine alors qu'elle continue de repousser l'invasion russe », a expliqué Pierre-Marc Bureau, chercheur en analyse des menaces chez Google. « L'UAC-0098 agit en tant que tête de point aux opérations malveillantes des groupes de rançongiciels dont Quantum, Conti et un groupe de cybercriminels russes FIN12 / WIZARD SPIDER ». La firme de Mountain View n'est pas la seule à avoir identifié cette évolution de l'activité des cybergangs russes visant l'Ukraine et ses intérêts. C'est aussi le cas de l'équipe de chercheurs en cybersécurité d'IBM Security, X-Force, qui a révélé que le groupe Trickbot repris par Conti début 2022, avait aussi attaqué de façon systématique l'Ukraine depuis l'invasion russe alors que cela n'avait pas été le cas auparavant.

10 000 e-mails de spam contenant des pièces jointes malveillantes stoppés

« UAC-0098 est un acteur de la menace qui a historiquement livré le cheval de Troie bancaire IcedID, conduisant à des attaques de ransomwares opérées par des humains, et s'est récemment concentré sur les organisations ukrainiennes, le gouvernement ukrainien et les organisations humanitaires et à but non lucratif », explique Google dans son blog. Son activité a fait l'objet d'un suivi après la détection d'une campagne de phishing par e-mail propageant le backdoor AnchorMail (aka LackeyBuilder) fin avril 2022. Ce dernier utilise le protocole de transfert de courrier SMTTPS pour initialiser des communications vers un serveur de commande et de contrôle, et dont l'attribution pointe vers Conti, en tant que module TrickBot. Plusieurs autres campagnes ont ensuite été suivies et analysées : le 11 mai (e-mails usurpant la cyber-police ukrainienne et ciblant des hôtels), le 17 mai (pièces jointes ZIP contenant des fichiers XLL malveillants), le 19 mai (mails de phishing usurpant Elon Musk et sa société StarLink pour fournir l'accès Internet par satellite et contenant un programme d'installation MSI contenant le malware IceID).

Puis encore le 23 mai contre des organisations technologiques, de distribution et des agences gouvernementales ainsi que le 24 mai. « L'e-mail de phishing contenait un lien vers une boîte de dépôt pointant vers un document malveillant nommé ABR090TAN-TS.xlsb », explique Google. « Le 10 juin, quelques jours après la divulgation de CVE-2022-30190 (également connue sous le nom de Follina), un exploit armé nommé clickme.rtf a été téléchargé sur VirusTotal. Lors de l'exécution, le fichier récupère le contenu de http://64.190.113[.]51/index[.]html. À ce moment-là, aucun contenu n'a été livré à partir de l'URL. Neuf jours plus tard, le même serveur a été utilisé, cette fois en utilisant le port 8000, pour diffuser du contenu dans une campagne à grande échelle exploitant la même vulnérabilité. Le 19 juin enfin, TAG a interrompu une campagne avec plus de 10 000 e-mails de spam se faisant passer pour le service national des impôts d'Ukraine. Les e-mails avaient un fichier ZIP joint contenant un fichier RTF malveillant », poursuit Google.

Dans sa conclusion, l'équipe de chercheurs en sécurité de Google confirme l'attribution et de multiples chevauchements d'activités basés entre UAC-0098 et Trickbot ou le groupe de cybercriminalité Conti.