En janvier 2019, un groupe de hackers soupçonné d’appartenir à la République populaire de Lougansk a pris pour cible plusieurs membres du gouvernement ukrainien, dans le cadre d’une cyberattaque de spear-phishing. Objectif : surveiller les activités politiques et militaires du pays.

Place Maïdan, novembre 2013 : Kiev s’embrase suite au refus du gouvernement de signer un accord d’association avec l’Union européenne. Jusqu’en février 2014, la place de l’Indépendance fait l’objet d’affrontements violents entre manifestants et forces de l’ordre. Avec, à la clé, la destitution du président en fonction, Viktor Ianoukovytch. Instable, l’Ukraine bascule alors dans une crise territoriale.

Du phishing au cheval de Troie

La péninsule de Crimée se rattache à la Fédération de Russie en mars de la même année, suivie de la République populaire de Lougansk (RPL), état sécessionniste proclamé le mois suivant. Cinq ans plus tard, ces bouleversements semblent avoir un impact toujours aussi fort dans la région. Si les opérations militaires ont globalement cessé, d’autres missions plus discrètes se préparent en coulisses.

Car le dernier rapport publié par la firme de cybersécurité FireEye soupçonne la RPL d’avoir mené une campagne de cyberattaques à l’encontre du gouvernement et des forces militaires ukrainiennes, le 22 janvier 2019. Pour arriver à leurs fins, le groupe de hackers a fait appel à la technique de spear-phishing, qui consiste à dérober des données personnelles (identifiants, mot de passe, etc.) en se faisant passer pour un site de confiance. Dans notre cas, les victimes étaient savamment choisies, d’où l’ajout de « spear ».

Capture d’écran du mail envoyé aux officiels ukrainiens. // Crédit photo : FireEye

Pour tromper la vigilance des cibles, les pirates se sont donc astucieusement cachés derrière une autre identité : un représentant de fabricant d’armes défensives britannique (Armtrac), en l’occurrence, soi-disant rencontré par des officiels Ukrainiens lors d’un meeting organisé à Astana, le 24 mai 2018. L’objet du mail envoyé — SPEC-20T-MK2-000-ISS-4.10-09-2018STANDARD — était quant à lui accompagné d’une pièce jointe à télécharger.

« Armtrac-Commercial.7z », du nom de la fameuse pièce jointe, contenait alors un fichier Zip lui-même composé de deux documents Word et d’un fichier LNK malveillant. Une fois le tout exécuté sur l’ordinateur d’une victime, les attaquants sont parvenus à introduire plusieurs logiciels malveillants, tels que des Trojan RAT, ou Cheval de Troie d’accès à distance, bien connus du secteur (QuasarRAT et RatVermin).

Une force de frappe non négligeable

L’occasion pour eux d’installer des portes dérobées et de siphonner des données sensibles présentes dans les systèmes, dans l’objectif, notamment, de surveiller les activités politiques et militaires du pays. Si l’influence nationale et internationale de la République populaire de Lougansk n’atteint pas celle de nations plus puissantes, comme la France ou le Royaume-Uni, sa force de frappe n’en reste pas moins non négligeable au regard du succès de cette cyberattaque, bien qu’elle ne lui soit pas officiellement attribuée.

Partager sur les réseaux sociaux