BMW AG 
Cette activité d'espionnage de grande envergure a visé des diplomates travaillant dans au moins 22 des quelque 80 missions étrangères présentes dans la capitale ukrainienne, Kiev, ont indiqué les analystes de la division de recherche Unit 42 de Palo Alto Networks dans le rapport, qui doit être publié plus tard ce mercredi.
"La campagne a commencé par un événement inoffensif et légitime", indique le rapport. "À la mi-avril 2023, un diplomate du ministère polonais des Affaires étrangères a envoyé par courriel un prospectus légitime à diverses ambassades pour annoncer la vente d'une berline BMW série 5 d'occasion située à Kiev.
Le diplomate polonais, qui a refusé d'être identifié pour des raisons de sécurité, a confirmé le rôle de son annonce dans l'intrusion numérique.
Les pirates, connus sous le nom d'APT29 ou "Cozy Bear", ont intercepté et copié ce prospectus, y ont intégré un logiciel malveillant, puis l'ont envoyé à des dizaines d'autres diplomates étrangers travaillant à Kiev, a indiqué l'Unité 42.
"L'ampleur de ces opérations est stupéfiante pour ce qui constitue généralement des opérations clandestines et à portée limitée de menaces persistantes avancées (APT)", indique le rapport, en utilisant un acronyme souvent utilisé pour décrire les groupes de cyberespionnage soutenus par des États.
En 2021, les services de renseignement américains et britanniques ont identifié APT29 comme étant une branche du service de renseignement extérieur russe, le SVR. Le SVR n'a pas répondu à une demande de commentaire de Reuters sur la campagne de piratage.
En avril, les autorités polonaises chargées du contre-espionnage et de la cybersécurité ont averti que le même groupe avait mené une "vaste campagne de renseignement" contre les États membres de l'OTAN, l'Union européenne et l'Afrique.
Les chercheurs de l'Unité 42 ont pu relier la fausse publicité automobile au SVR parce que les pirates ont réutilisé certains outils et techniques qui avaient déjà été associés à l'agence d'espionnage.
"Les missions diplomatiques constitueront toujours une cible d'espionnage de grande valeur", indique le rapport de l'Unité 42. "Seize mois après l'invasion de l'Ukraine par la Russie, les renseignements concernant l'Ukraine et les efforts diplomatiques des alliés sont très certainement une priorité pour le gouvernement russe.
BMW D'OCCASION
Le diplomate polonais a déclaré qu'il avait envoyé l'annonce originale à plusieurs ambassades à Kiev et que quelqu'un l'avait rappelé parce que le prix semblait "attractif".
"Lorsque j'ai vérifié, je me suis rendu compte qu'ils parlaient d'un prix légèrement inférieur", a déclaré le diplomate à Reuters.
Il s'avère que les pirates du SVR avaient proposé la BMW du diplomate à un prix inférieur - 7 500 euros - dans leur fausse version de l'annonce, dans le but d'encourager davantage de personnes à télécharger un logiciel malveillant qui leur permettrait d'accéder à distance à leurs appareils.
Selon l'Unité 42, ce logiciel était déguisé en un album de photographies de la BMW d'occasion. Les tentatives d'ouverture de ces photos auraient infecté l'ordinateur de la cible, selon le rapport.
Vingt-et-une des 22 ambassades ciblées par les pirates et contactées par la suite par Reuters n'ont pas fait de commentaires. Il n'était pas clair quelles ambassades, le cas échéant, avaient été compromises.
Un porte-parole du département d'État américain a déclaré qu'il était "au courant de cette activité et que, d'après l'analyse de la direction de la sécurité cybernétique et technologique, elle n'avait pas affecté les systèmes ou les comptes du département".
Quant à la voiture, elle est toujours disponible, a déclaré le diplomate polonais à Reuters :
"Je vais probablement essayer de la vendre en Pologne", a-t-il déclaré. "Après cette situation, je ne veux plus avoir de problèmes". (Reportage de James Pearson ; Rédaction de Conor Humphries)
