Des groupes russes exploitent des outils Windows natifs pour infiltrer des réseaux ukrainiens, voler des données sensibles et maintenir un accès persistant discret.
En bref
- Des acteurs russes ont ciblé une grande entreprise de services et une administration locale en Ukraine, cherchant à collecter des données sensibles et à rester présents sur les réseaux.
- Les attaquants ont privilégié des outils déjà présents dans les systèmes Windows, réduisant l’usage de logiciels malveillants afin de limiter les traces et éviter la détection.
- Un webshell nommé Localolive a été utilisé pour obtenir un accès initial et déployer des actions d’espionnage, notamment la récupération de mots de passe et l’activation d’accès distants.
- Des indices suggèrent un lien possible avec le groupe Sandworm, connu pour des campagnes d’espionnage et de sabotage en Ukraine, mais sans confirmation formelle.
Les attaques ont visé des organisations en Ukraine afin de collecter des informations sensibles et de maintenir un accès discret à leurs réseaux. Les équipes d’analyse soulignent que ces opérations reposaient principalement sur l’usage de programmes déjà installés dans les systèmes compromis, une approche permettant de réduire les alertes de sécurité et de rester longtemps sans être détecté. Selon SecurityAffairs, une intrusion contre une grande entreprise de services a duré environ deux mois, tandis qu’une administration locale a été touchée pendant une semaine. Les attaquants ont utilisé des vulnérabilités non corrigées pour poser un webshell, puis ont exécuté des commandes de reconnaissance et mis en place des mécanismes d’accès persistant.
Tactiques d’infiltration discrète et persistance dans les réseaux
L’intrusion observée commence par l’exploitation de failles non corrigées dans des systèmes exposés sur Internet. Les attaquants ont installé un webshell, permettant de communiquer avec les serveurs compromis sans dépendre d’outils externes visibles par les systèmes de défense.
Après cette première étape, les attaquants ont procédé à une reconnaissance interne des réseaux afin de comprendre leur fonctionnement, d’identifier les comptes administrateurs, les serveurs critiques et les systèmes contenant des informations sensibles. Ils ont exécuté des commandes système pour lister les utilisateurs, les processus en cours et les configurations d’environnement. De plus, la désactivation des analyses antivirus sur certains dossiers a permis de lancer des exécutables suspects sans alerte. Les fichiers stockés dans le dossier Téléchargements ont servi de zone tampon pour exécuter des programmes temporaires.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Pour maintenir leur accès, les attaquants ont mis en place des tâches planifiées générant des copies régulières de la mémoire vive. Cela leur a permis de récupérer des identifiants de connexion et d’accéder à d’autres machines de manière latérale. Des outils d’administration légitimes comme PowerShell ont été mobilisés pour contourner les contrôles de sécurité. Un serveur OpenSSH a également été installé afin de créer un canal d’accès distant. Dans certains cas, les attaquants ont cherché à obtenir des informations stockées dans des coffres de mots de passe, en ciblant notamment des processus associés à des gestionnaires d’identifiants.
Attribution possible et contexte opérationnel plus large
L’ensemble des techniques utilisées présente des similitudes avec les méthodes connues du groupe Sandworm, actif depuis de nombreuses années dans des campagnes d’espionnage et de sabotage. Sandworm est déjà lié à plusieurs opérations majeures en Ukraine, incluant des attaques visant des infrastructures critiques. Toutefois, l’attribution exacte de cette nouvelle campagne reste prudente, les équipes d’analyse indiquant que les éléments recueillis suggèrent une origine russe sans confirmation formelle.
Le rapport mentionne également la présence d’un outil de gestion de routeurs MikroTik, winbox64.exe, déjà observé dans de précédentes campagnes associées à ce groupe. Ce fichier a été retrouvé dans le dossier Téléchargements des systèmes compromis, laissant penser à une tentative d’administration ou de déplacement latéral via des équipements réseau.
Selon une analyse publiée sur TheHackerNews, cette campagne s’inscrit dans un contexte plus large où plusieurs groupes d’origine russe conduisent des opérations d’espionnage numérique contre l’Ukraine. Les équipes de défense notent que ces opérations reposent de plus en plus sur des outils légitimes déjà intégrés aux systèmes d’exploitation, réduisant l’usage de logiciels malveillants conçus sur mesure. Cette tendance accroît la difficulté d’identification rapide des intrusions et complique la réponse des équipes de sécurité.
La persistance sur une longue durée, l’usage d’outils natifs du système et la recherche de données d’identification montrent une volonté de contrôle stable des réseaux compromis plutôt qu’une action destructrice immédiate. Cela suggère des objectifs stratégiques, comme la collecte d’informations sur les opérations internes, l’accès à des plans organisationnels ou des données utiles aux prises de décision.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
