Comment des pirates ont voulu hacker des journalistes via Protonmail
Une attaque par phishing détournant le service mail suisse Protonmail a ciblé des journalistes enquêtant sur des affaires impliquant la Russie. Un nom de domaine en .ch hébergeait un faux site Protonmail.
Une tentative de phishing (hameçonnage) a ciblé des utilisateurs du service mail de la start-up genevoise Protonmail. L’attaque visait des journalistes de Bellingcat, site d'investigation notamment à l'origine des révélations sur l'empoisonnement de l'ancien espion russe Sergeï Skripal. Les pirates ont voulu piéger les journalistes via un mail prétendument envoyé par les équipes de Protonmail.
Le mail frauduleux précise que le compte des personnes ciblées est potentiellement compromis et invite à cliquer sur des liens pour modifier le mot de passe et générer de nouvelles clés de chiffrement. Les liens redirigeant vers le faux site mailprotonmail.ch, où les utilisateurs auraient saisi et compromis leurs identifiants. Les mesures anti-phishing de Protonmail ont toutefois permis de filtrer ces faux mails.
Dans un billet de blog, le CEO de Protonmail Andy Yen souligne que ni les systèmes du service ni aucun compte utilisateur n’ont été compromis. Cette tentative d’hameçonnage est présentée comme sophistiquée par Protonmail et Bellingcat, qui soupçonnent des pirates russes d'être derrière l'attaque. Cette dernière a en effet exploité des ressources, dont le registraire de nom de domaine, utilisées par Fancy Bear (également connu sous le nom de APT28), un groupe russe de cyberespionnage possiblement affilié aux services de renseignement russes.
Pour opérer cette tentative de phishing, les pirates ont enregistré plus d’une dizaine de noms de domaine incluant le terme Protonmail. La firme de cybersécurité ThreatConnect confirme ces informations et indique que le registraire utilisé, nommé Njalla, permet des enregistrements de domaines de façon anonyme. Protonmail explique avoir immédiatement contacté registraires et hébergeurs du monde entier pour demander de suspendre ces noms de domaine, dont certains n’ont pas encore été utilisés. La start-up genevoise a aussi alerté Fedpol et MELANI, afin de bloquer le domaine suisse utilisé dans cette cyberattaque.
Copie du mail de phishing ayant ciblé des journalistes utilisant le service mail de la start-up genevoise Protonmail. (Source: ThreatConnect)
