La Russie a infiltré des messageries étatiques en Ukraine et en Europe

La société de cybersécurité Recorded Future a détaillé, le 16 février 2024, une vaste opération de cyberespionnage menée en Ukraine et en Europe par le groupe affilié à la Russie, Winter Vivern. Les cybercriminels ont exploité des vulnérabilités XSS (permettant l’injection de code à distance), dont au moins deux zero-day, dans Roundcube, un client de messagerie largement utilisé par des institutions gouvernementales et militaires. Roundcube fait ainsi partie de la liste de logiciels recommandés par l’État français.

En octobre 2023, Winter Vivern a ainsi injecté du code malveillant dans les serveurs de messagerie de plus de 80 organisations, venant surtout d’Ukraine (31 % des victimes), de Géorgie (14%) et de Pologne (12%). Recorded Future a également identifié des attaques réussies en France, en Belgique, au Royaume-Uni, en Allemagne et en République tchèque.

Les cybercriminels ont alors pu accéder à de nombreuses boites mail sensibles, et obtenir des renseignements politiques ou militaires sur l’Ukraine et ses alliés. Selon Recorded Future, l’objectif de l’opération était de créer « des avantages stratégiques ou de saper la sécurité et les alliances européennes ».

Outre ces victimes gouvernementales et militaires, la campagne de Winter Vivern a « également ciblé les secteurs des transports et de l’éducation, ainsi que des institutions de recherche en chimie et en biologie », indique Recorded Future. La société de cybersécurité recommande aux utilisateurs de Roundcube de vérifier que leur logiciel est bien à jour, les dernières versions ayant corrigé ces vulnérabilités XSS.