Une nouvelle campagne de phishing attribuée aux services de sécurité intérieure russes

Médias indépendants, ONG, opposants russes exilés en Europe et aux États-Unis, et personnes vivant toujours en Russie sont les cibles d’une nouvelle campagne de phishing (ou hamphiring : tentative de vol d’identifiants et de mots de passe), menée depuis le printemps 2024 par les services de sécurité intérieure russes. C’est la conclusion d’une enquête conjointe menée par l’ONG Access Now et le principal laboratoire canadien sur la surveillance électronique, Citizen Lab, publiée mercredi 14 août et consultée par Le monde.

Parmi les cibles de cette campagne figurent un ancien ambassadeur des États-Unis et le site d’investigation russe indépendant Proekt. Cependant, la plupart des victimes identifiées ont souhaité garder l’anonymat, certaines d’entre elles se trouvant en Russie. « Cette enquête montre que les journalistes indépendants russes et les militants des droits de l’homme en exil sont confrontés aux mêmes attaques de phishing sophistiquées que les responsables américains, même s’ils disposent de moins de ressources pour se protéger et sont confrontés à des risques bien plus grands. »explique Natalia Krapiva, experte juridique pour l’ONG Access Now.

Comme l’explique le rapport de Citizen Lab, les victimes étaient souvent contactées par courrier électronique par des pirates se faisant passer pour une personne qu’ils connaissaient, parfois en imitant l’adresse électronique de leur correspondant. « De nombreuses cibles pensaient parler à une personne réelle »explique le laboratoire canadien, qui ajoute que dans certains cas, un effort préliminaire a été fait pour engager une conversation avant d’envoyer un lien piégé. L’ancien ambassadeur américain en Ukraine, Steven Pifer, a ainsi été approché par des espions se faisant passer pour un autre ambassadeur américain.

Des espions bien connus

De manière assez classique, les victimes recevaient un faux document PDF qui les redirigeait vers une fausse page de connexion par e-mail. En réalité, il s’agissait d’une copie créée pour récupérer leurs identifiants de connexion (et codes d’authentification à deux facteurs) et ainsi accéder à leur boîte de réception. Comme l’explique le rapport d’Access Now, les pirates ont mis en place des mécanismes de protection dans les liens piégés pour garantir que la véritable page de phishing n’apparaisse que lorsque la cible visée clique sur la pièce jointe. Selon Citizen Lab, un mécanisme qui pourrait être utilisé pour contourner les outils qui analysent automatiquement les pièces jointes des e-mails. « Le phishing est considéré comme beaucoup moins cher que les logiciels espions, tout en fournissant une quantité importante d’informations sur ses victimes. »souligne Hassen Selmi, expert pour Access Now.

Il vous reste 44.92% de cet article à lire. Le reste est réservé aux abonnés.