Des responsables ukrainiens de la cybersécurité ont confirmé que plusieurs agences gouvernementales locales ont été ciblées dans une campagne de cyber-espionnage de longue haleine attribuée à un groupe de pirates informatiques lié à l'État russe. **Taras Dzyuba**, chef du département des communications d'information au **Service d'État des communications spéciales et de la protection de l'information (SSSCIP)** de l'Ukraine, a déclaré à Recorded Future News que les autorités sont au courant des attaques, qui, selon des chercheurs occidentaux, ont compromis des comptes de messagerie appartenant à des procureurs et des enquêteurs ukrainiens. Au début de la semaine, Reuters a rapporté que des pirates informatiques liés à la Russie avaient piraté plus de 170 comptes de messagerie appartenant à des procureurs et des enquêteurs à travers l'Ukraine ces derniers mois. Selon Dzyuba, l'activité décrite dans le rapport de Reuters semble faire partie d'une campagne plus large que les autorités ukrainiennes suivent depuis 2023. L'équipe de réponse aux incidents informatiques de l'Ukraine (**CERT-UA**) a identifié trois vagues d'attaques qui font probablement partie de la même campagne. ### Exploitation des vulnérabilités de Roundcube Les intrusions ont exploité des vulnérabilités dans la plateforme de messagerie web open-source **Roundcube** qui permettent aux attaquants d'exécuter du code malveillant lorsqu'une victime ouvre simplement un e-mail dans sa boîte de réception, sans avoir besoin de cliquer sur des liens ou de télécharger des pièces jointes. Cela souligne le besoin critique de correctifs et de gestion des vulnérabilités, même pour les solutions open-source largement utilisées. Dzyuba a déclaré que certaines informations prétendument volées lors de ces attaques à plusieurs agences d'État ukrainiennes avaient été publiées en ligne plus tôt en mars, mais il a ajouté qu'il était peu probable que le matériel divulgué contienne des données confidentielles. Il a indiqué que la Russie pourrait utiliser ces cyberincidents comme base pour des campagnes de désinformation visant à discréditer les institutions ukrainiennes. ### Attribution à APT28 Des chercheurs de Ctrl-Alt-Intel ont attribué la campagne au groupe de pirates informatiques **APT28** – également connu sous le nom de **Fancy Bear**, **BlueDelta** ou **Forest Blizzard** – que les gouvernements occidentaux et les entreprises de cybersécurité croient largement lié à l'agence de renseignement militaire russe, le **GRU**. Dzyuba a confirmé que toutes les indications pointaient vers ce groupe. Le CERT-UA a déjà signalé plusieurs attaques d'APT28 exploitant les vulnérabilités de Roundcube. Selon un rapport de Ctrl-Alt-Intel, la plupart des victimes de la dernière campagne se trouvaient en Ukraine, bien que certains comptes compromis aient été liés à des pays voisins de l'OTAN et aux Balkans, notamment la Roumanie, la Bulgarie, la Grèce et la Serbie. ### Institutions ciblées Parmi les institutions ukrainiennes qui auraient été touchées figuraient le **Bureau du procureur spécialisé anti-corruption (SAP)** et l'**Agence de recouvrement et de gestion des avoirs (ARMA)**, qui supervise les avoirs saisis auprès de criminels et de collaborateurs russes. La cheffe par intérim de l'ARMA, **Yaroslava Maksymenko**, a confirmé jeudi que les employés de l'agence avaient été ciblés par une cyberattaque russe, mais a déclaré que les pirates informatiques n'avaient pas réussi à accéder à ses systèmes internes. « L'examen a établi qu'aucun accès aux systèmes d'information internes n'a été obtenu, et aucune fuite de données provenant de bases de données ou de ressources d'information de l'État ne s'est produite », a déclaré Maksymenko dans un communiqué à l'agence de presse Interfax-Ukraine. Le SAP a déclaré plus tôt cette semaine avoir lancé un examen suite à des rapports selon lesquels des pirates informatiques russes auraient piraté des dizaines de comptes de messagerie appartenant à des responsables de l'application de la loi ukrainiens, y compris ceux de l'agence. Jusqu'à présent, les enquêteurs n'ont trouvé aucune preuve que des données aient été volées des systèmes du SAP, bien que l'examen soit en cours.