Cet audio est généré automatiquement. S’il vous plaît laissez-nous savoir si vous avez rétroaction.
Résumé de plongée:
- Google Threat Analysis Group (TAG) a exposé des groupes de piratage pour compte d’autrui opérant en Russie, en Inde et aux Émirats arabes unis (EAU), dans un article de blog publié jeudi.
- Les adversaires de piratage pour compte d’autrui, qui se concentrent sur l’exfiltration de données et la compromission de comptes, mènent des activités d’espionnage d’entreprise et ciblent des utilisateurs à haut risque, y compris des organisations de défense des droits de l’homme, des militants politiques, des journalistes et d’autres personnes opérant dans des espaces en ligne sensibles.
- Les groupes de piratage pour compte d’autrui travaillent souvent avec des services d’enquête tiers ou d’autres entrepreneurs externes.
Aperçu de la plongée:
Les groupes de hack-for-hire utilisent diverses méthodes pour poursuivre leurs cibles, certains faisant ouvertement la publicité de leurs services, tandis que d’autres groupes sollicitent des affaires avec un groupe plus sélect de clients potentiels, selon les chercheurs.
TAG a suivi un groupe d’acteurs de la menace basés en Inde, certains d’entre eux ayant une expérience antérieure au sein de sociétés de sécurité offensives, notamment Appin et Belltrox. Les chercheurs ont lié les anciens employés à une nouvelle entreprise appelée Rebsec, qui fait ouvertement de la publicité pour l’espionnage d’entreprise.
Un groupe d’acteurs a lancé des campagnes d’hameçonnage d’informations d’identification contre des cibles en Arabie saoudite, aux Émirats arabes unis et à Bahreïn, en mettant l’accent sur le gouvernement, les télécommunications et les soins de santé. L’activité s’est concentrée sur la compromission des comptes Google, Amazon Web Services et, dans certains cas, d’agences gouvernementales spécifiques.
Le groupe lié à la Russie, connu sous le nom de Void Balaur, a été découvert alors qu’il enquêtait sur une campagne menée en 2017 contre un journaliste. L’acteur de la menace a été vu en train de cibler d’autres journalistes, des organisations non gouvernementales (ONG), des organisations à but non lucratif et des politiciens.
Parmi les leurres utilisés par les attaquants figurent de faux comptes Gmail ou des sites Web usurpés du gouvernement russe. Après avoir compromis un compte ciblé, l’adversaire a utilisé un jeton OAuth pour une application légitime, telle que Thunderbird, selon les chercheurs. Alternativement, les attaquants ont généré un mot de passe d’application via IMAP. Le groupe a ciblé les comptes Gmail, Hotmail et Yahoo.
Les acteurs de la menace basés aux Émirats arabes unis ont principalement ciblé des cibles du Moyen-Orient et d’Afrique du Nord, notamment des organisations gouvernementales, des ONG ou des prestataires d’éducation. L’adversaire a ciblé le parti palestinien Fatah et les ONG basées en Europe qui se concentrent sur les affaires du Moyen-Orient.
L’acteur utilise un kit de phishing personnalisé, qui comprend une suite de navigateur Web automatisée appelée Selenium. Le groupe est également lié aux développeurs originaux de H-Worm, les sujets d’une année 2014 Procès Microsoft.
Les sites Web et les domaines liés à ces acteurs ont été ajoutés à la navigation sécurisée. Le Groupe d’enquête sur la cybercriminalité a partagé des informations et des indicateurs de compromission avec les forces de l’ordre.