Un groupe indien de pirates informatiques a ciblé les États-Unis, la Chine, le Myanmar, le Pakistan, le Koweït et d’autres pays dans le cadre d’une vaste opération d’espionnage, de surveillance et de perturbation pendant plus d’une décennie.
Le Sécurité du logiciel Appin (alias Appin Security Group), selon une analyse approfondie de SentinelOne, a commencé comme une startup éducative proposant des programmes de formation en sécurité offensive, tout en menant des opérations de piratage secrètes depuis au moins 2009.
En mai 2013, ESET a révélé une série de cyberattaques ciblant le Pakistan avec des logiciels malveillants volant des informations. Bien que l’activité ait été attribuée à un cluster suivi comme Hangover (alias Patchwork ou Zinc Emerson), les éléments de preuve montrent que l’infrastructure est détenue et contrôlée par Appin.
« Le groupe a mené des opérations de piratage contre des individus de grande valeur, des organisations gouvernementales et d’autres entreprises impliquées dans litiges juridiques spécifiques« , Tom Hegel, sécurité de SentinelOne dit dans une analyse complète publiée la semaine dernière.
« Les opérations de piratage et l’organisation globale d’Appin semblent souvent informelles, maladroites et techniquement rudimentaires ; cependant, leurs opérations se sont avérées très fructueuses pour leurs clients, impactant les affaires mondiales avec un succès significatif. »
Les résultats sont basés sur des données non publiques obtenues par Reuters, qui accusait Appin d’avoir orchestré des attaques de vol de données à l’échelle industrielle contre des dirigeants politiques, des dirigeants internationaux, des personnalités sportives et autres. En réponse, l’entreprise a nié tout lien avec le secteur du hack-for-hire.
L’un des principaux services proposés par Appin était un outil « MyCommando » (alias GoldenEye ou Commando) qui permettait à ses clients de se connecter pour afficher et télécharger des données et des mises à jour de statut spécifiques à la campagne, de communiquer en toute sécurité et de choisir parmi diverses options de tâches allant de de la recherche open source à l’ingénierie sociale en passant par une campagne de chevaux de Troie.
Le ciblage de la Chine et du Pakistan confirme qu’un groupe de mercenaires d’origine indienne a été impliqué dans des attaques parrainées par l’État. Appin a également été identifié comme étant à l’origine du logiciel espion macOS connu sous le nom de KitM en 2013.
De plus, SentinelOne a déclaré avoir également identifié des cas de ciblage national dans le but de voler les identifiants de connexion des comptes de messagerie appartenant à des Sikhs en Inde et aux États-Unis.
« Dans une campagne sans rapport, le groupe a également utilisé le domain speedaccélérateur[.]com pour un serveur FTP, hébergeant des logiciels malveillants utilisés dans leurs e-mails de phishing malveillants, dont l’un a été utilisé sur un individu indien ciblé plus tard par l’APT ModifiedElephant », a noté Hegel. Il convient de noter que les liens de Patchwork vers ModifiedElephant ont été précédemment identifiés par Secureworks.
En plus d’exploiter une vaste infrastructure provenant d’un tiers pour l’exfiltration de données, le commandement et le contrôle (C2), le phishing et la mise en place de sites leurres, l’acteur offensif du secteur privé (PSOA) se serait appuyé sur des logiciels espions privés. et exploiter les services fournis par des fournisseurs privés comme Vervata, Vupen et Core Security.
Dans une autre tactique remarquable, Appin aurait exploité une plateforme indépendante basée en Californie appelée Elance (maintenant appelée Upwork) pour acheter des logiciels malveillants auprès de développeurs de logiciels externes, tout en utilisant également ses employés internes pour développer une collection personnalisée d’outils de piratage. .
« Les résultats de la recherche soulignent la ténacité remarquable du groupe et son expérience avérée dans l’exécution réussie d’attaques pour le compte d’une clientèle diversifiée », a déclaré Hegel.
Cette évolution intervient alors qu’Aviram Azari, un enquêteur privé israélien, a été condamné aux États-Unis à près de sept ans de prison fédérale pour intrusion informatique, fraude électronique et vol d’identité aggravé dans le cadre d’un programme mondial de piratage informatique entre novembre et novembre. 2014 à septembre 2019. Azari a été arrêté en septembre 2019.
« Azari possédait et exploitait une société de renseignement israélienne », a déclaré le ministère de la Justice (DoJ). dit la semaine dernière. « Les clients ont embauché Azari pour gérer des ‘Projets’ qui étaient décrits comme des efforts de collecte de renseignements mais qui étaient en fait des campagnes de piratage ciblant spécifiquement certains groupes de victimes. »
Aviram a également été accusé d’avoir recours à des pirates informatiques mercenaires en Inde, une société appelée BellTroX Infotech (alias Amandine ou Bassin sombre), pour aider les clients à obtenir un avantage dans les batailles judiciaires via des attaques de spear phishing et, à terme, à accéder aux comptes des victimes et à voler des informations.
BellTrox a été fondée par Sumit Gupta en mai 2013. Reuters divulgué en juin 2022, avant de lancer l’entreprise, Gupta avait travaillé pour Appin.