Leurs premières tentatives au cours des deux dernières années ont principalement utilisé le phishing avec pour thèmes, des correspondances en lien avec de potentielles opérations diplomatiques :
• Notes verbale (communication diplomatique semi-formelle de gouvernement à gouvernement),
• Mises à jour de l’état de fonctionnement des ambassades,
• Horaires des diplomates,
• Invitations aux événements de l’ambassade

Ces leurres sont généralement envoyés aux personnes qui gèrent ce type de correspondances dans le cadre de leur travail quotidien au sein de l’ambassade. Ces leurres non conventionnels sont conçus pour inciter le destinataire à ouvrir une pièce jointe en fonction de ses propres besoins plutôt que ceux liés à leurs tâches habituelles.
Récemment, les chercheurs de l’Unit 42 ont observé des campagnes du groupe Cloaked Ursa utilisant des leurres se concentrant sur les diplomates eux-mêmes plus que sur les pays qu’ils représentent. L’Unit 42 a identifié Cloaked Ursa ciblant les missions diplomatiques en Ukraine en tirant parti du besoin actuel en véhicule des diplomates récemment placés.
L’Unit 42 a observé Cloaked Ursa ciblant au moins 22 des plus de 80 missions étrangères situées dans Kyiv. L’Unit 42 ne dispose pas des détails sur le taux de réussite et d’infection de ces attaques, mais note que leur nombre est non négligeable pour une opération clandestine d’un groupe APT (advanced persistent threat) que les États-Unis et le Royaume-Uni attribuent publiquement au Service russe de renseignement extérieur (SVR).
L’analyse de l’Unit 42 selon laquelle Cloaked Ursa est responsable de ces leurres est basée sur les éléments suivants :
• Similitudes avec d’autres campagnes et cibles connues de Cloaked Ursa
• Utilisation de TTP connus de Cloaked Ursa
• Chevauchement de code avec d’autres logiciels malveillants Cloaked Ursa connus

Ces leurres peuvent circuler plus largement. Ils peuvent être envoyés et transmis à un plus grand nombre de cibles, à l’intérieur d’une organisation ainsi qu’au sein de la communauté diplomatique. Cela augmente leurs chances de succès et de compromission. Ces leurres axés sur les individus offrent de nouvelles opportunités à Cloaked Ursa et un plus large éventail de cibles d’espionnage potentielles.

BMW à vendre
L’une des plus récentes de ces nouvelles campagnes observées par les chercheurs de l’Unit 42 semble utiliser la vente légitime d’une BMW pour cibler des diplomates à Kiev, en Ukraine, comme point de départ.
La campagne a commencé par un événement anodin et légitime. À la mi-avril 2023, un diplomate du ministère polonais des Affaires étrangères a envoyé par courrier électronique son dépliant légitime à diverses ambassades annonçant la vente d’une berline BMW de série 5 d’occasion située à Kiev. Le dossier s’intitulait BMW 5 à vendre à Kiev - 2023.docx.
La nature du service des diplomates professionnels est souvent celle qui implique des rotations d’affectations à court et moyen terme à travers le monde. L’Ukraine présente aux diplomates nouvellement affectés des défis uniques, étant dans une zone de conflit armé entre la Russie et l’Ukraine. Comment expédier des biens personnels, se procurer un hébergement et des services sûrs, organiser un transport personnel fiable dans un nouveau pays ? La vente d’une voiture fiable à un diplomate de confiance pourrait être une aubaine pour une arrivée récente, ce que Cloaked Ursa a considéré comme une opportunité.
L’Unit 42 estime que Cloaked Ursa a probablement d’abord collecté et observé ce dépliant publicitaire légitime via l’un des serveurs de messagerie des destinataires de l’e-mail compromis, ou par une autre opération de renseignement. En voyant sa valeur en tant que leurre de phishing générique mais largement attrayant, ils l’ont réutilisé.
Deux semaines plus tard, le 4 mai 2023, Cloaked Ursa a envoyé par e-mail sa version illégitime de ce dépliant à plusieurs missions diplomatiques à travers Kiev. Ces dépliants illégitimes utilisent des documents Microsoft Word bénins du même nom que celui envoyé par le diplomate polonais.

Diplomates turcs : Assistance humanitaire pour le tremblement de terre
Une autre des nouvelles campagnes Cloaked Ursa que l’Unit 42 a observées ciblait probablement le ministère des Affaires étrangères Turc (MAE) plus tôt en 2023, entre février et mars. L’Unit 42 n’a pas été en mesure d’obtenir le leurre des e-mails malveillants associé à cette campagne, mais sait qu’il s’agissait d’un document qui prétendait être des directives du MAE turc sur une aide humanitaire relative au tremblement de terre du 21 février 2023 en Turquie. Le tremblement de terre de fin février a encore ravagé une région déjà dévastée par un énorme tremblement de terre deux semaines plus tôt, qui a finalement tué plus de 50 000 et déplacés plus de 5,9 millions de personnes.

Conclusion
Les missions diplomatiques seront toujours une cible d’espionnage de grande valeur. Seize mois après l’invasion russe de l’Ukraine, les renseignements entourant l’Ukraine et la diplomatie alliée sont certainement une haute priorité pour le gouvernement russe.
Comme le montrent les campagnes partagées par l’Unit 42 dans cette analyse, les diplomates devraient comprendre que les APT modifient leurs approches – y compris par le biais du spear phishing – pour améliorer leur efficacité. Ils saisiront toutes les occasions d’inciter les victimes à un compromis. L’Ukraine et ses alliés doivent rester extrêmement vigilants face à la menace de cyber espionnage, assurer la sécurité et la confidentialité de leurs informations.

Recommandations
• Former les diplomates et les employés nouvellement affectés à une mission diplomatique sur lesmenaces de cybersécurité pour la région avant leur arrivée. Cette formation doit inclure les tactiques, techniques et procédures (TTP) spécifiques utilisées par les APT dans cette région.
• Prendre toujours des précautions supplémentaires pour observer la redirection d’URL lors de l’utilisation de services de raccourcissement d’URL.
• Se méfier des téléchargements, même ceux apparemment anodins ou légitimes des sites. Les APT cooptent régulièrement des sites ou des services légitimes à des fins malveillantes.
• Prendre des précautions supplémentaires avec les pièces jointes qui nécessitent un navigateur Web pour les ouvrir. Ces types de pièces jointes incluent les extensions de fichier suivantes :.hta, .htm, .html, .mht, .mhtml, .svg, .xhtet.xhtml.
• Vérifier toujours les types d’extension de fichier pour s’assurer. Si l’extension de fichier ne correspond pas, ou s’il tente d’obscurcir sa nature, il est très probablement malveillant.
• Lorsqu’il est reçu en pièce jointe à un e-mail ou lorsqu’il est téléchargé à partir d’un lien dans un e-mail, rechercher toujours les fichiers et répertoires cachés dans les archives telles que ceux avec les extensions.zipper, .rar, .7z, .prend et.iso. La présence de fichiers ou répertoires cachés peuvent indiquer que l’archive est malveillante.
• Penser à désactiver JavaScript en règle générale.