Une campagne d’hameçonnage sophistiquée cible des maires, des dirigeants municipaux et des responsables de la cybersécurité dans toute la Pologne dans ce que les autorités décrivent comme une tentative hautement coordonnée de compromettre les réseaux des gouvernements locaux. L’avertissement, émis par le CERT Polska, fait suite à de multiples rapports faisant état de fonctionnaires recevant des courriels frauduleux qui semblent provenir directement du ministère des Affaires numériques.
Les courriels utilisent des visuels d’apparence authentique, notamment le logo officiel du ministère et une photo du vice-ministre Paweł Olszewski, pour créer l’illusion de légitimité. Les messages sont rédigés dans un langage administratif formel et encouragent les destinataires à agir rapidement, ce qui augmente la probabilité que les responsables se conforment sans vérifier la source. La campagne a attiré l’attention non seulement par sa précision, mais aussi par son ciblage délibéré des fonctionnaires qui détiennent des responsabilités en matière de cybersécurité ou d’administration au sein des bureaux locaux.
Selon le CERT Polska, les attaquants utilisent des méthodes d’ingénierie sociale pour convaincre les destinataires d’ouvrir un fichier joint à l’e-mail. Le dossier est présenté comme un document gouvernemental de routine lié à un nouveau processus de vérification ou à une mise à jour de sécurité pour les fonctionnaires. Le message demande au destinataire d’examiner et de confirmer les « données personnelles de l’employé » ou de vérifier les informations sur les membres du personnel local dans le cadre d’une prétendue initiative de conformité.
Lorsque la victime ouvre le fichier et suit les instructions intégrées, la pièce jointe se connecte à un site Web malveillant ou télécharge un logiciel malveillant sur le système. Une fois le logiciel malveillant installé, il peut commencer à collecter des données sensibles, à intercepter les communications et à fournir un accès à distance à l’attaquant. Ce type d’infection est particulièrement dangereux dans les environnements municipaux où les systèmes internes sont souvent liés à des réseaux plus larges qui gèrent les dossiers, les permis ou les infrastructures publiques.
Les autorités nationales polonaises en matière de cybersécurité ont souligné que cette campagne était toujours active et en évolution. Étant donné que les attaquants semblent peaufiner leurs messages et mettre à jour leurs pièces jointes, les bureaux municipaux sont priés de mettre en œuvre des mesures défensives immédiates. Il s’agit notamment de renforcer les règles de filtrage des e-mails, de bloquer les pièces jointes provenant d’expéditeurs inconnus et de créer des étapes de vérification interne pour toute communication prétendant provenir d’un ministère national.
L’enquête du CERT Polska suggère que la campagne se poursuit depuis plusieurs semaines et qu’elle pourrait faire partie d’un effort plus large visant à infiltrer les systèmes gouvernementaux à plusieurs niveaux. En se concentrant sur les maires et d’autres fonctionnaires, les attaquants semblent rechercher un accès administratif ou des informations d’identification qui pourraient leur permettre de se déplacer latéralement au sein des réseaux. Dans le pire des cas, un tel accès pourrait être utilisé pour perturber les services, voler des données sensibles ou implanter des ransomwares dans plusieurs bureaux.
La décision de se faire passer pour le ministère des Affaires numériques montre une compréhension claire du fonctionnement des structures administratives polonaises. Les courriels faisant référence à un ministère ont une autorité inhérente, en particulier lorsqu’ils sont adressés à des responsables locaux qui correspondent régulièrement avec des institutions nationales. Cela rend cette tactique très efficace pour abaisser la garde des destinataires et contourner les contrôles de sécurité courants.
Le CERT Polska a exhorté tous les bureaux locaux à vérifier l’authenticité des courriels avant d’y donner suite. L’agence recommande également que les employés du gouvernement reçoivent une formation actualisée sur l’identification des tentatives d’hameçonnage. De nombreux messages frauduleux partagent des caractéristiques communes, telles que des erreurs grammaticales mineures, des adresses de domaine incompatibles ou des types de fichiers inhabituels attachés à ce qui devrait être de simples avis gouvernementaux.
Bien qu’aucune violation confirmée n’ait encore été divulguée, les experts en cybersécurité avertissent que même un petit nombre d’infections réussies pourrait avoir de graves conséquences. Les réseaux gouvernementaux locaux stockent souvent des données sensibles sur les citoyens, notamment des dossiers fiscaux, des coordonnées et des informations d’identification. Ils jouent également un rôle dans les services essentiels tels que l’eau, la gestion des déchets et la coordination des interventions d’urgence. Un compte administrateur compromis pourrait fournir aux attaquants une passerelle vers ces systèmes critiques.
Le gouvernement polonais n’a pas commenté publiquement l’origine de la campagne, et aucun acteur malveillant spécifique n’a été identifié. Cependant, les analystes notent que les opérations de phishing de ce type servent souvent de précurseurs à des cyberattaques plus importantes. Dans des cas précédents, les attaquants ont utilisé des stratégies similaires pour installer des outils d’accès à distance qui permettent une infiltration plus profonde au fil du temps.
Alors que la campagne se poursuit, le CERT Polska et d’autres agences nationales travaillent avec les autorités locales pour diffuser des alertes et partager des renseignements sur les menaces. Les bureaux municipaux sont priés de signaler tous les courriels suspects, même si aucune pièce jointe n’a été ouverte. La centralisation de ces données permettra d’identifier les modèles et les connexions potentielles entre les attaques.
Pour les responsables publics, l’incident est un rappel que les menaces à la cybersécurité ciblent de plus en plus les individus plutôt que les systèmes. L’hameçonnage sophistiqué repose moins sur des exploits techniques que sur une manipulation psychologique, utilisant l’urgence et l’autorité pour pousser les victimes à agir. En se faisant passer pour une communication légitime provenant d’une source gouvernementale fiable, les attaquants peuvent contourner de nombreuses mesures de protection techniques qui empêcheraient normalement l’accès.
L’incident met également en évidence le défi croissant de défendre les petites entités gouvernementales qui peuvent manquer de ressources dédiées à la cybersécurité. Alors que les ministères nationaux maintiennent souvent des opérations de sécurité avancées, de nombreux bureaux municipaux fonctionnent avec un personnel technique limité et des systèmes obsolètes. Cela crée des vulnérabilités que les auteurs de menace peuvent exploiter pour atteindre des réseaux plus vastes ou recueillir des renseignements sur les processus gouvernementaux.
Les experts polonais en cybersécurité soulignent que même de simples contre-mesures peuvent réduire considérablement les risques. Il s’agit notamment de vérifier les adresses des expéditeurs, d’éviter l’ouverture de pièces jointes non vérifiées, d’utiliser l’authentification multifactorielle pour les comptes administratifs et de maintenir des outils antivirus à jour. Les bureaux municipaux sont également encouragés à simuler des exercices d’hameçonnage pour aider les employés à reconnaître et à signaler les communications suspectes avant que des dommages ne se produisent.
La campagne de phishing menée contre les dirigeants municipaux polonais montre comment les cybercriminels continuent de faire évoluer leurs tactiques pour exploiter la confiance et la communication de routine. Alors que l’enquête est en cours, l’avertissement du CERT Polska souligne l’importance de la vigilance à tous les niveaux de gouvernement. Que la campagne atteigne ou non les objectifs visés, elle nous rappelle que même les systèmes bien conçus dépendent de la conscience humaine pour rester en sécurité.