Le Threat Analysis Group (TAG) de Google a livré, le 19 avril 2023, une nouvelle analyse des attaques par hameçonnage menées par la Russie contre l’Ukraine. Mi-février 2023, les chercheurs avaient déjà pointé une hausse de 250 % du ciblage des utilisateurs ukrainiens entre 2020 et 2022. Ce nouveau rapport indique que 60 % des mails de phishing venus de Russie au premier trimestre 2023 visaient l’Ukraine.
Le TAG pointe notamment une forte activité de deux groupes liés au renseignement russe, Sandworm et Fancy Bear. Le premier cible notamment les utilisateurs de chaînes Telegram ukrainiennes populaires, en leur envoyant des SMS frauduleux visant à récupérer leurs identifiants.
Le second préfère exploiter des vulnérabilités dans des sites ukrainiennes populaires, pour rediriger leurs utilisateurs vers des pages de hameçonnage. Fancy Bear a notamment usurpé l’identité de ukr.net, un important service de messagerie ukrainien.
« Tous les citoyens doivent être constamment sur leurs gardes. La Russie mène des campagnes massives pour récolter le plus d’informations possible », a commenté Yevheniia Volivnyk, cheffe du CERT de l’État ukrainien (CERT-UA), à Numerama.
Elle pointe également une évolution de la typologie des cibles ukrainiennes visées par ces attaques. « La défense est évidemment toujours visée, mais nous avons vu des campagnes d’abord dirigées massivement vers l’énergie, puis les télécoms, et aujourd’hui le secteur de l’assurance et du médical est le plus ciblé par le phishing », précise-t-elle.
« Les méthodes des attaquants sont standards, mais dirigées contre les agents médicaux en particulier. Les objectifs recherchés pourraient être la prise d’infos sur des militaires soignés », ajoute la directrice du CERT-UA.