Des cyberespions russes s'attaquent à des gouvernements européens via Roundcube

Violence

Le client de messagerie Roundcube a été victime pendant plusieurs jours de l’exploitation d’une vulnérabilité de ses systèmes. Des espions russes en ont profité pour lancer des campagnes de phishing auprès de plusieurs gouvernements européens afin d’en extraire des informations.

Un groupe de hackers russes a profité d’une vulnérabilité 0day du client de messagerie Roundcube pour attaquer plusieurs gouvernements et un think tank européens. Comme le rapporte le média spécialisé Bleeping Computer, ce sont des chercheurs de la firme slovaque de cybersécurité ESET qui ont découvert la faille et lancé l’alerte. Le 16 octobre, soit cinq jours après le début des attaques menées par le groupe Winter Vivern, une mise à jour de sécurité a été déployée par l’équipe à l’origine du client open source.

Récupérer des messages en toute discrétion

Spécialisés dans le cyberespionnage, les membres de Winter Vivern sont connus depuis 2021 pour cibler des gouvernements d’Europe et d’Asie centrale, explique Matthieu Faou dans un billet de blog d’ESET publié mercredi 25 octobre. Récemment, ils ont donc mis sur pied une campagne de phishing via des mails envoyés depuis la fausse adresse [email protected]. Les mails, dont l’objet propose de “bien démarrer avec Outlook”, contiennent une balise malveillante.

Pour que celle-ci s’exécute “dans le navigateur de la victime dans le contexte de sa session Roundcube”, le récepteur du mail n’a même pas besoin de cliquer sur un lien, explique ESET :

Aucune interaction manuelle autre que l’affichage du message dans un navigateur web n’est requise."

Les personnes infectées servent par la suite de relais pour les espions de Winter Vivern, lesquels sont en mesure de récupérer des messages, notamment au sein de gouvernements.

Le groupe utilise d’ailleurs certaines méthodes malveillantes identiques à celles des pirates russes du renseignement militaire qui se sont notamment attaqués au gouvernement ukrainien, relève Bleeping Computer. Winter Vivern s’attaque aussi régulièrement à ses cibles via le client de messagerie Zimbra. Les experts en cybersécurité recommandent donc de prendre au sérieux les mises à jour de sécurité de ces différents gestionnaires de mail.

– Sources

https://www.usine-digitale.fr/article/des-cyberespions-russes-s-attaquent-par-mail-a-des-gouvernements-europeens-via-roundcube.N2187593

https://www.bleepingcomputer.com/news/security/european-govt-email-servers-hacked-using-roundcube-zero-day/

https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/

Raccoon

Je pensais que RoundCube était un vieil ersatz d’une techno utilisée par OVH, je n’aurais jamais cru que ça existait encore.