Dans une opération rappelant les tactiques du passé, des acteurs de menace, probablement soutenus par le gouvernement russe, ont exploité des vulnérabilités XSS pour pirater des serveurs de courriels à travers le monde. Ces attaques ont permis de voler des contacts et des emails de comptes ciblés, mettant en lumière la persistance des risques liés aux anciennes vulnérabilités.
Une Exploitation d’Anciennes Vulnérabilités
Les acteurs de menace ont exploité des vulnérabilités XSS, une classe de bugs qui figurait parmi les plus couramment exploitées il y a des décennies. Ces vulnérabilités, résultant d’erreurs de programmation dans les logiciels de serveurs web, permettent aux attaquants d’exécuter du code malveillant dans les navigateurs des visiteurs d’un site web affecté.
Les Cibles et les Méthodes
Le groupe Sednit, également connu sous les noms APT28, Fancy Bear, Forest Blizzard, et Sofacy, a ciblé des logiciels de serveurs de courriels de quatre fabricants différents : Roundcube, MDaemon, Horde, et Zimbra. Les attaques ont récemment visé des serveurs utilisés par des sous-traitants de la défense en Bulgarie et en Roumanie, ainsi que des organisations gouvernementales dans ces pays et ailleurs dans le monde.
Le Mécanisme des Attaques
Les attaques, nommées RoundPress par ESET, ont été menées via des emails de spearphishing contenant des exploits XSS cachés dans le code HTML. Ces exploits permettaient aux attaquants de contrôler le code exécuté dans le navigateur de la victime, volant ainsi des contacts et des emails, et dans certains cas, redirigeant tous les futurs emails vers un serveur contrôlé par Sednit.
Une Persistance Surprenante
Bien que les exploits XSS ne persistent pas après la fermeture de l’email malveillant, ils peuvent être réexécutés à chaque réouverture de l’email. Cette opération souligne l’importance de maintenir les logiciels à jour, car certaines des vulnérabilités exploitées avaient été corrigées des années auparavant.
