Le groupe d’analyse des menaces (TAG) de Google a révélé jeudi qu’il avait agi pour bloquer jusqu’à 36 domaines malveillants exploités par des groupes de piratage pour compte d’Inde, de Russie et des Émirats arabes unis.
D’une manière analogue à l’écosystème des logiciels de surveillance, les entreprises de piratage informatique dotent leurs clients de capacités leur permettant d’effectuer des attaques ciblées visant les entreprises ainsi que les militants, les journalistes, les politiciens et d’autres utilisateurs à haut risque.
Là où les deux se distinguent, c’est que tandis que les clients achètent les logiciels espions auprès de fournisseurs commerciaux et les déploient ensuite eux-mêmes, les opérateurs à l’origine des attaques de piratage pour compte d’autrui sont connus pour mener les intrusions au nom de leurs clients afin d’obscurcir leur rôle.
“Le paysage du hack-for-hire est fluide, à la fois dans la façon dont les attaquants s’organisent et dans le large éventail de cibles qu’ils poursuivent dans une seule campagne à la demande de clients disparates”, a déclaré Shane Huntley, directeur de Google TAG, a dit dans un rapport.
“Certains attaquants de hack-for-hire annoncent ouvertement leurs produits et services à toute personne disposée à payer, tandis que d’autres opèrent plus discrètement en vendant à un public limité.”
Une récente campagne lancée par un opérateur indien de piratage pour compte d’autrui aurait ciblé une société informatique à Chypre, un établissement d’enseignement au Nigeria, une société de technologie financière dans les Balkans et une société commerciale en Israël, indiquant l’étendue des victimes.
La tenue indienne, que Google TAG a déclaré suivre depuis 2012, a été liée à une série d’attaques de phishing d’informations d’identification dans le but de récolter les informations de connexion associées aux agences gouvernementales, Amazon Web Services (AWS) et aux comptes Gmail.
La campagne consiste à envoyer des e-mails de harponnage contenant un lien malveillant qui, lorsqu’il est cliqué, lance une page de phishing contrôlée par l’attaquant et conçue pour siphonner les informations d’identification saisies par les utilisateurs sans méfiance. Les cibles comprenaient les secteurs du gouvernement, de la santé et des télécommunications en Arabie saoudite, aux Émirats arabes unis et à Bahreïn.
Google TAG a attribué les acteurs indiens du hack-for-hire à une société appelée Rebsec, qui, selon son inactivité Compte Twitterest l’abréviation de “Titres de la rébellion” et est basée dans la ville d’Amritsar. La société site Interneten baisse pour “maintenance” au moment de la rédaction, prétend également offrir des services d’espionnage d’entreprise.
Un ensemble similaire d’attaques de vol d’identifiants ciblant des journalistes, des politiciens européens et des organisations à but non lucratif a été lié à un acteur russe surnommé Void Balaur, un groupe de cybermercenaires documenté pour la première fois par Trend Micro en novembre 2021.
Au cours des cinq dernières années, le collectif aurait identifié les comptes des principaux fournisseurs de messagerie Web tels que Gmail, Hotmail et Yahoo! et les fournisseurs de messagerie Web régionaux comme abv.bg, mail.ru, inbox.lv et UKR.net.
Enfin, TAG a également détaillé les activités d’un groupe basé aux Émirats arabes unis et a des liens avec les développeurs originaux d’un cheval de Troie d’accès à distance appelé njRAT (alias H-Ver ou Houdini).
Les attaques de phishing, comme précédemment découvertes par Amnesty International en 2018, impliquent l’utilisation de leurres de réinitialisation de mot de passe pour voler les informations d’identification de cibles au sein d’organisations gouvernementales, éducatives et politiques au Moyen-Orient et en Afrique du Nord.
Suite à la compromission du compte, l’auteur de la menace maintient la persistance en accordant un jeton OAuth à une application de messagerie légitime telle que Thunderbird, générant un Mot de passe de l’application pour accéder au compte via IMAP, ou lier le compte Gmail de la victime à un compte appartenant à un adversaire sur un fournisseur de messagerie tiers.
Les résultats surviennent une semaine après que Google TAG a révélé les détails d’une société italienne de logiciels espions nommée RCS Lab, dont l’outil de piratage “Hermit” a été utilisé pour cibler les utilisateurs d’Android et d’iOS en Italie et au Kazakhstan.