Actu
Recherches Mandiant : Opération potentielle sur la « Supply Chain »visant des entités gouvernementales ukrainiennes
décembre 2022 par Mandiant
De nouvelles recherches de Mandiant mettent en évidence une opération sur la chaîne d’approvisionnement centrée sur l’Ukraine. L’opération a utilisé des fichiers ISO trojanisés hébergés sur des sites de partage de fichiers torrent se faisant passer pour des installateurs du système d’exploitation Windows 10. Les fichiers ont été conçus à destination les utilisateurs ukrainiens et un sous-groupe de fonctionnaires compromis a été désigné pour le suivi de l’opération.
Mandiant suit cette activité sous le nom de UNC4166. Bien que les analystes Mandiant ne disposent pas d’assez d’informations pour attribuer cette opération à un groupe déjà suivi, il a été actif dans des organisations qui ont été précédemment ciblées par des groupes liés au GRU avec des wipers au début de cette guerre. Il convient de noter que UNC4166 a activement ciblé des organisations qui étaient historiquement victimes d’attaques wipers que Mandiant associe à APT28.
D’après John Hultquist, Head of Intelligence Analysis chez Mandiant : « Bien qu’elle ne soit pas aussi sophistiquée que SolarWinds sur le plan technique, cette opération est similaire dans la mesure où elle semble être conçue pour compromettre un grand nombre de cibles potentielles qui peuvent ensuite être réduites à des cibles d’intérêt. Dans ce cas, ces cibles sont le gouvernement ukrainien. Nous ne pouvons pas nous permettre d’ignorer la chaîne d’approvisionnement. Elle peut être utilisée comme une massue ou comme un scalpel".
