Exclusive: A Cyber Mercenary Is Hacking The Google And Telegram Accounts Of Presidential Candidates, Journalists And Doctors
Exclusive: A Cyber Mercenary Is Hacking The Google And Telegram Accounts Of Presidential Candidates, Journalists And Doctors
1 comment
Un coup d’œil sans précédent à l’intérieur d’une opération clandestine de piratage informatique révèle 3 500 cibles, dont des candidats à la présidence biélorusse, des militants des droits de l’homme ouzbeks et une bourse de crypto-monnaies. Leurs principales cibles ? Les comptes Gmail, Protonmail et Telegram de tous ceux que leurs maîtres payeurs veulent espionner.
Une surveillance dans le cadre d’enquêtes numériques est très différente des images traditionnelles de limiers campant dans des camionnettes noires. Demandez à Feike Hacquebord, chercheur en cybersécurité basé aux Pays-Bas, qui a passé plusieurs mois derrière son écran d’ordinateur à suivre les activités d’une équipe de pirates informatiques appelée RocketHack quand, en octobre 2020, il a eu un coup de chance. Les données recueillies par son employeur, Trend Micro, pointaient vers une page Web utilisée par RocketHack pour surveiller ses victimes. Ne nécessitant pas de mot de passe pour y accéder, cette page lui permet d’avoir une vue d’ensemble d’une entreprise de piratage informatique très active.
Cette découverte a permis d’établir que, depuis quatre ans, l’équipe russophone de RocketHack a discrètement infiltré les comptes de messagerie et de Telegram, les PC et les téléphones Android de pas moins de 3 500 personnes. Selon M. Hacquebord, les cibles vont des journalistes, des militants des droits de l’homme et des politiciens aux ingénieurs en télécommunication et aux médecins spécialistes de la fécondation in vitro dans quelques dizaines de cliniques.
Ses conclusions prouvent de façon saisissante qu’à côté d’entreprises bien établies (bien que controversées) comme le groupe israélien NSO, qui fournit des services aux forces de l’ordre pour pirater des appareils, il existe une industrie souterraine d’acteurs comme RocketHack, qui s’introduisent dans la vie numérique des gens pour le plus offrant, qu’il s’agisse d’un gouvernement, d’une entreprise cliente pour l’espionnage, d’un harceleur ou d’un conjoint violent.
Le modèle économique de RocketHack, selon le rapport de M. Hacquebord tel qu’il a été montré à Forbes avant sa publication mercredi à la conférence sur la sécurité Black Hat Europe, est simple : il “s’attaque aux données les plus privées et personnelles des entreprises et des particuliers, puis vend ces données à qui veut bien les payer”. Outre l’accès aux courriels des gens, l’équipe a également vendu des registres d’appels provenant de tours de téléphonie cellulaire, des données de compagnies aériennes et des informations bancaires, a déclaré Hacquebord à Forbes.
La principale méthode de piratage de RocketHack est le phishing, avec des emails contenant des liens vers de fausses pages de connexion pour Google Gmail, le service de messagerie cryptée Protonmail et Telegram, entre autres. Dans une publicité de 2018, les pirates suggéraient que l’intrusion dans le service Protonmail, axé sur la sécurité, était leur service le plus cher, à 50 000 roubles (700 dollars au taux de change actuel), tandis que le piratage d’un compte Gmail coûterait 40 000 roubles. Mais il semble que certains fournisseurs de messagerie russes disposent d’un accès plus profond, puisqu’ils proposent d’accéder à des comptes sans avoir besoin de piéger l’utilisateur avec des e-mails de phishing.
La liste de ses clients reste inconnue, mais elle semble diversifiée et contient probablement des clients appartenant à des États-nations. Sur sa liste de cibles figuraient deux candidats à la présidence au Belarus et un membre du parti d’opposition, dans un pays où un gouvernement répressif a cherché à réprimer la dissidence. Il a également ciblé les courriels privés du ministre de la Défense d’un pays d’Europe de l’Est et de l’ancien chef d’une agence de renseignements non précisée. Des responsables gouvernementaux d’Ukraine, de Slovaquie, de Russie, du Kazakhstan, d’Arménie, de Norvège, de France et d’Italie ont tous été visés cette année. Des annonces antérieures sur des forums clandestins, détaillées par Group-IB, une société de cybersécurité basée à Singapour, indiquaient que l’équipe proposait de vérifier l’historique de crédit des individus et de déterminer s’ils étaient recherchés par des organismes internationaux d’application de la loi.
Hacquebord a affirmé qu’un certain nombre de piratages visant des militants des droits de l’homme et des journalistes ouzbeks, dont Amnesty International et l’organisation canadienne à but non lucratif Equalit.ie avaient déjà fait état, avaient été perpétrés par RocketHack. Parmi eux figurait le rédacteur en chef d’un site Web de médias ouzbek. Plus de 25 journalistes dans le monde ont également été visés.
Le fait que 70 médecins spécialistes de la fécondation in vitro aient été piratés a été une surprise pour M. Hacquebord. Un agent du fisc russe figurait également sur la liste des cibles du pirate. Il se peut que RocketHack n’ait pas ciblé ces personnes pour une raison particulière, mais parce qu’elles étaient en possession d’une grande quantité de données personnelles, qui pourraient être vendues ultérieurement, a déclaré le chercheur. “On dirait qu’ils sont à la recherche de sources ou de leurs informations, peut-être pour en vendre encore plus”.
En ce qui concerne les attaques à visée financière, il a mis en place divers sites de phishing pour des échanges de crypto-monnaies et des portefeuilles de crypto-monnaies. Il s’est notamment intéressé à la bourse de crypto-monnaies Exmo, basée à Londres, selon la recherche. RocketHack s’en est pris non seulement aux clients, mais aussi aux dirigeants d’Exmo. L’un des dirigeants de l’entreprise a été kidnappé à Kiev, en Ukraine, en 2017, puis jeté d’un véhicule sur une autoroute par ses ravisseurs, selon les rapports. (Exmo n’avait pas répondu à une demande de commentaire au moment de la publication).
Outre le phishing, le groupe exploite des logiciels malveillants pour espionner les appareils Android et Windows, ajoute le chercheur. Il a découvert que le logiciel d’espionnage Android comportait des modules permettant d’espionner WhatsApp, d’enregistrer les appels et de suivre la localisation.
Une douzaine de victimes par jour
Le groupe ne ralentit pas. Chaque jour, Hacquebord voit de nouvelles victimes de RocketHack. “Chaque jour, il y a peut-être une douzaine de nouvelles cibles”, dit-il.
Bien qu’ils parlent en russe, leurs origines sont un mystère. Selon Oleg Dyorov, responsable de l’unité de recherche de la société de cybersécurité Group-IB, basée à Singapour, l’équipe de pirates est apparue pour la première fois en 2017 en proposant des services sur le logiciel de messagerie chiffrée Jabber, en se concentrant souvent sur VK. Le réseau social étant populaire dans les pays post-soviétiques, cela pourrait donner “des raisons de supposer que l’attaquant pourrait être originaire de la région post-soviétique et avoir ses clients là aussi”, a ajouté Dyorov.
RocketHack n’est qu’un des nombreux opérateurs clandestins qui fournissent de tels services de piratage. Comme l’a déclaré à Forbes un chercheur de la société de cyberintelligence Intel 471, “le marché de la prise de contrôle de comptes est très lucratif et, comme le montre RocketHack, il ne faut pas beaucoup d’efforts pour causer une bonne quantité de dommages.”
“Les cybercriminels travaillent dans un environnement relativement compétitif”, a ajouté Dyorov.
Hacquebord n’a informé qu’une poignée de victimes de RocketHack qu’elles avaient été piratées. Mais, après avoir observé le groupe pendant plus d’un an, il envisage maintenant d’informer les forces de l’ordre des activités de RocketHack. Il n’est pas sûr de l’impact que cela aura. “Je pense que beaucoup de pays pourraient considérer leurs cyber mercenaires dans leur propre région comme un atout national”, a-t-il ajouté. “Il est donc difficile de leur dire de simplement les faire taire”.
Traduit avec http://www.DeepL.com/Translator (version gratuite)