Le 11 octobre, le groupe de cyber espions russes Winter Vivren profitait d’une faille du service de messagerie RoundCube pour attaquer plus de quatre-vingts entités européennes et d’Asie Centrale. L’objectif ? Récolter des données gouvernementales et militaires selon une déclaration du groupe Insikt de la société Recorded Future. Les pays les plus touchés sont l’Ukraine, la Géorgie et la Pologne.
Depuis le début de la guerre en Ukraine, le nombre de cyberattaques est en constante augmentation
Le groupe de cyber espions russes et biélorusses Winter Vivern s’en est pris à plus de quatre-vingts organisations d’Europe et Asie Centrale qui utilisent le serveur de messagerie RoundCube. Profitant des failles de vulnérabilité XSS de script intersite (cross-site scripting) du système de messagerie, ils ont pu obtenir un accès non autorisé aux serveurs de messagerie et échapper aux contrôles de sécurité. D’autres infrastructures nationales sont également concernées, dans les secteurs des transports, de l’éducation et de la recherche en chimie et biologie.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les plus touchés en Europe sont l’Ukraine (31 %), la Géorgie (14 %) et la Pologne (12 %). Dans une moindre mesure, la France, le Royaume-Uni, l’Allemagne et la République tchèque ont également été affectés. Par ailleurs, les ambassades d’Iran à Moscou et aux Pays-Bas ainsi que l’ambassade de Géorgie en Suède font partie des victimes.
Ces attaques de type zéro-day leur ont permis d’injecter du code malveillant pour ensuite lister et exfiltrer les informations sur les activités politiques et militaires des pays concernés. Selon la société de cybersécurité Recorded Future, il s’agissait d’accéder à des informations relatives à l’effort de guerre de l’Ukraine, les relations diplomatiques qu’elle entretient et ses partenaires de coalition. In fine, l’objectif serait de créer des avantages stratégiques ou de saper les alliances européennes.
Cinq jours après sa découverte, RoundCube avait développé une mise à jour de sécurité permettant de contrer la cyberattaque.
Recommandé par l’État français pour ses administrations, il a déjà été pris pour cible par le passé notamment par les groupes russes Blue Delta (APT28) et Sandworm.
Actif depuis au moins décembre 2020, Winter Vivern n’en est pas à son premier coup d’essai et s’en prend également au serveur de messagerie Zimbra dans l’intention d’infiltrer des administrations basées en Moldavie et en Tunisie depuis 2022.
Devant cette menace et les enjeux sous-jacents, les experts recommandent aux utilisateurs de s’assurer de la mise à jour des logiciels de messagerie qu’ils utilisent et de renforcer leur cybersécurité en ces temps de conflit.