Ukraine: Des pirates informatiques ont compromis les serveurs de courrier électronique Roundcube
- par Ismail
- , le 24 juin 2023
- 21 h 13 min
APT28 (alias BlueDelta, Fancy Bear, Sednit et Sofacy), un groupe de menace lié au GRU russe, a piraté les serveurs de messagerie Roundcube de plus de 40 organisations ukrainiennes, y compris des organismes gouvernementaux.
Le groupe de cyber-espionnage a utilisé des informations sur le conflit entre la Russie et l’Ukraine pour inciter les gens à ouvrir des courriels nuisibles. Ces courriels exploitaient les vulnérabilités du Roundcube Webmail pour pirater des serveurs non sécurisés.
À l’aide d’un script malveillant, les pirates militaires russes redirigent les courriels entrants des individus vers une adresse électronique contrôlée par les attaquants après avoir obtenu un accès non autorisé aux serveurs de messagerie.
L’enquête menée par le CERT-UA d’Ukraine et le groupe Insikt de Recorded Future a révélé que l’objectif de la campagne était de collecter et de voler des renseignements militaires en vue de l’invasion de l’Ukraine par la Russie.
Depuis novembre 2021, on pense que les pirates militaires d’APT28 utilisent la même infrastructure pour ces attaques de cyberespionnage et d’autres activités illicites.
En outre, ce groupe lié au GRU a également fait l’objet d’allégations d’exploitation des vulnérabilités « zero-day » précédemment inconnues dans Microsoft Outlook.
Un courriel intitulé « News of Ukraine » a été détecté lors de l’examen approfondi du contenu de la boîte aux lettres de l’utilisateur de l’ordinateur.
Un exploit pour la vulnérabilité de Roundcube qui est suivie comme « CVE-2021-44026 » (SQLi) est présent dans le fichier « q.js ». Bien que cet exploit soit principalement utilisé pour extraire des informations de la base de données de Roundcube.
De plus, l’identification du code « c.js » a révélé qu’il contient un exploit pour la vulnérabilité CVE-2020-12641. Cet exploit permet d’exécuter des commandes sur le serveur de messagerie.