La menace associée aux groupes de piratage soutenus par les États-nations a été bien documentée et relatée ces derniers temps, mais il existe un autre ensemble d’adversaires tout aussi dangereux qui opèrent comparativement dans l’ombre depuis des années.
Ce sont des groupes de hack-for-hire qui se spécialisent dans l’intrusion dans les systèmes et le vol de courrier électronique et d’autres données en tant que service. Leurs clients peuvent être des enquêteurs privés, des cabinets d’avocats, des rivaux commerciaux et d’autres qui n’ont pas les capacités de mener ces attaques par eux-mêmes. Ces cybercensaires annoncent souvent ouvertement leurs services et ciblent toute entité d’intérêt pour leurs clients, contrairement aux acteurs de la menace persistante avancée (APT) soutenus par l’État, qui ont tendance à être furtifs et ont des missions spécifiques et une cible étroite.
Des chercheurs du Threat Analysis Group (TAG) de Google ont publié cette semaine un rapport sur la menace, en utilisant écosystèmes de hack-for-hire en Inde, en Russie et aux Émirats arabes unis, comme exemples de la nature prolifique de l’activité criminelle. Les chercheurs du TAG ont identifié les services offerts par les cybercensaires comme différents de ceux offerts par les fournisseurs de surveillance qui vendent des outils et des capacités à d’autres – tels que les agences de renseignement et les forces de l’ordre – à utiliser.
Large éventail de cibles
« L’ampleur des cibles dans les campagnes de piratage pour embauche contraste avec de nombreuses opérations soutenues par le gouvernement, qui ont souvent une délimitation plus claire de la mission et des cibles », a déclaré Shane Huntley, directeur de Google TAG, dans un blog jeudi.
À titre d’exemple, il a cité une opération récente observée par Google où une société indienne de piratage pour compte d’autrui a ciblé une société informatique à Chypre, une société de shopping en Israël, une société de technologie financière dans les Balkans et une entité universitaire au Nigeria. Dans d’autres campagnes, Google a observé ces groupes ciblant les défenseurs des droits de l’homme, les journalistes et les militants politiques.
« Ils mènent également de l’espionnage d’entreprise, obscurcissant facilement le rôle de leurs clients », a écrit Huntley.
Le rapport de Google sur les activités de piratage pour compte d’autrui a coïncidé avec un long rapport d’enquête de Reuters sur la façon dont les parties impliquées dans les litiges judiciaires ont eu lieu ces dernières années. embauché des cyber mercenaires indiens pour voler des informations de l’autre côté qui leur donneraient un avantage dans la bataille.
Reuters a déclaré avoir été en mesure d’identifier au moins 35 cas remontant à 2013, lorsqu’une personne impliquée dans un procès a embauché des pirates indiens pour obtenir des informations de l’entité contre laquelle ils plaidaient. L’un d’eux impliquait une bataille juridique de 1,5 milliard de dollars entre le gouvernement nigérian et les héritiers d’un homme d’affaires italien pour le contrôle d’une compagnie pétrolière.
Dans chacun de ces cas, les pirates ont envoyé des e-mails de phishing à des victimes ciblées avec des logiciels malveillants pour voler les informations d’identification de leurs comptes de messagerie et d’autres données.
De nombreuses victimes de piratage pour compte d’autrui
Reuters a déclaré avoir identifié quelque 75 entreprises américaines et européennes, trois douzaines de groupes de défense des droits et de nombreux dirigeants d’entreprises dans des pays occidentaux qui ont été la cible de ces attaques. Au total, au cours de la période de sept ans au centre de l’enquête, les pirates indiens ont envoyé quelque 80 000 e-mails de phishing à 13 000 cibles dans plusieurs pays.
Parmi ceux dont les attaquants ont tenté d’accéder aux boîtes de réception des e-mails figuraient au moins 1 000 avocats de 108 cabinets d’avocats, tels que Baker McKenzie et Cooley et Cleary Gottlieb aux États-Unis et Clyde & Co. et LALIVE en Europe.
Reuters a décrit le rapport comme étant basé sur des informations provenant d’entretiens avec des victimes, de responsables du gouvernement américain, d’avocats et de documents judiciaires de sept pays. Une base de données de ces dizaines de milliers de courriels envoyés par les pirates indiens que Reuters a déclaré avoir reçus de deux fournisseurs de messagerie a également contribué à l’enquête.
« La base de données est en fait la liste des cibles des pirates, et elle révèle un examen à la seconde près de qui les cybercens mercenaires ont envoyé des e-mails de phishing entre 2013 et 2020 », a déclaré l’article de Reuters.
Parmi les entités indiennes que Reuters a nommées dans son rapport figuraient Appin, BellTroX et Cyberoot – qui ont toutes partagé l’infrastructure et le personnel à un moment donné.
Suivi des cybercampagnes
Google a déclaré qu’il suivait également les opérateurs indiens de piratage pour compte d’autrui, dont beaucoup étaient associés à Appin et BellTroX, depuis 2012. Une grande partie de l’activité s’est concentrée sur les organisations des secteurs du gouvernement, des télécommunications et de la santé aux Émirats arabes unis, en Arabie saoudite et à Bahreïn, selon TAG.
Le rapport de Google a également décrit les opérateurs de piratage pour compte d’autrui que les chercheurs de TAG ont suivis en Russie et aux Émirats arabes unis. L’un d’eux est un acteur russe déjà connu que d’autres ont referred à void Balaur, qui a espionné des milliers d’individus et volé des informations privées les concernant pour les vendre à divers clients.
Ce n’est pas la première fois que les chercheurs en sécurité lancent un avertissement sur les pirates informatiques à louer. Trend Micro, par exemple, a rendu compte de l’ Menace Balaur nulle en novembre 2021. Un an auparavant, des chercheurs en sécurité de BlackBerry avaient signalé un groupe de piratage pour compte d’autrui qu’ils avaient observé appelé CostaRicto, qui ciblait des victimes dans plusieurs pays, dont beaucoup en Asie du Sud.
« Le paysage du hack-for-hire est fluide, à la fois dans la façon dont les attaquants s’organisent et dans le large éventail de cibles qu’ils poursuivent dans une seule campagne à la demande de clients disparates », a écrit Huntley de TAG.