- Des chercheurs d'ESET ont identifié l'opération RoundPress, une campagne d'espionnage probablement orchestrée par le groupe Sednit (APT28), aligné sur les intérêts de la Russie.
- L'attaque utilise des emails de spearphishing exploitant des vulnérabilités XSS dans divers logiciels de messagerie web (Roundcube, Horde, MDaemon et Zimbra) pour injecter du code JavaScript malveillant.
- Les cibles principales sont des entités gouvernementales et entreprises de défense d'Europe de l'Est, avec une extension aux gouvernements d'Afrique et d'Amérique du Sud.
- Les charges utiles volent les identifiants et exfiltrent contacts et messages
- SpyPress.MDAEMON permet de contourner l'authentification à deux facteurs.
Des chercheurs d'ESET ont identifié une opération d'espionnage baptisée RoundPress, vraisemblablement menée par le groupe Sednit (aussi connu sous les noms Fancy Bear ou APT28), aligné sur les intérêts de la Russie. Cette campagne exploite des failles XSS sur des serveurs de messagerie web pour dérober des données sensibles. Les cibles principales sont liées au conflit ukrainien : institutions gouvernementales ukrainiennes et entreprises d'armement en Bulgarie et Roumanie, notamment celles fournissant des armes soviétiques à l'Ukraine. D'autres entités gouvernementales en Afrique, Europe et Amérique du Sud sont également visées.
« Durant l'année écoulée, nous avons repéré plusieurs vulnérabilités XSS exploitées contre divers logiciels de messagerie web : Horde, MDaemon et Zimbra. Sednit a aussi exploité une faille plus récente dans Roundcube, la CVE-2023-43770. D’autre part, la vulnérabilité CVE-2024-11182 (MDaemon), désormais corrigée, était un zero-day probablement identifié par Sednit, alors que celles affectant Horde, Roundcube et Zimbra étaient déjà documentées et corrigées », explique Matthieu Faou, chercheur chez ESET, qui a découvert et enquêté sur l'opération RoundPress.
Le groupe Sednit diffuse ces exploits par email, permettant l'exécution de code JavaScript malveillant dans le navigateur de la victime lorsqu'elle consulte sa messagerie web. Cette technique limite l'accès des pirates aux seules données disponibles dans le compte ciblé.
Pour réussir leur attaque, les hackers doivent convaincre la cible d'ouvrir le message dans l'interface web vulnérable. L'email doit donc échapper aux filtres anti-spam et présenter un objet suffisamment attractif. Les attaquants usurpent l'identité de médias réputés comme le Kyiv Post ukrainien ou le portail bulgare News.bg. Parmi les titres utilisés figurent : "Le SBU a arrêté un banquier travaillant pour le renseignement militaire ennemi à Kharkiv" ou "Poutine cherche à faire accepter par Trump les conditions russes dans les relations bilatérales".
Les attaquants déploient différentes charges utiles JavaScript (SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE et SpyPress.ZIMBRA) capables de voler des identifiants, d'exfiltrer carnets d'adresses, contacts, historiques de connexion et messages. La variante SpyPress.MDAEMON peut même contourner l'authentification à deux facteurs en dérobant le secret d'authentification et en créant un mot de passe d'application, permettant ainsi un accès distant à la boîte mail.
« Ces deux dernières années, les serveurs de messagerie web comme Roundcube et Zimbra sont devenus des cibles privilégiées pour plusieurs groupes d'espionnage, notamment Sednit, GreenCube et Winter Vivern. Comme beaucoup d'organisations négligent la mise à jour de leurs serveurs de messagerie web et que les vulnérabilités peuvent être exploité à distance par simple envoi d'email, ces systèmes représentent une opportunité idéale pour les attaquants cherchant à voler des informations. », explique M. Faou.
Le groupe Sednit, également connu sous les noms APT28, Fancy Bear, Forest Blizzard ou Sofacy, opère depuis au moins 2004. Le ministère américain de la Justice l'a identifié comme responsable du piratage du Comité national démocrate avant les élections américaines de 2016, l'associant au GRU russe. On lui attribue également le piratage de la chaîne TV5Monde, la fuite des emails de l'Agence mondiale antidopage et de nombreux autres incidents.
Pour une analyse technique des outils de Sednit utilisés dans Operation RoundPress, consultez l’article de blog d'ESET Research « Operation RoundPress » sur WeLiveSecurity.com.
Carte des cibles d'exploitation RoundPress, selon la télémétrie ESET
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.