Un aperçu sans précédent à l’intérieur d’une opération clandestine de piratage informatique révèle 3 500 cibles, dont des candidats à la présidence biélorusse, des militants ouzbeks des droits de l’homme et un échange de crypto-monnaie. Leurs cibles principales ? Les comptes Gmail, Protonmail et Telegram appartenant à toute personne que leurs payeurs veulent espionner.

Une surveillance dans les enquêtes numériques est très différente des images traditionnelles de détectives campés dans des camionnettes obscurcies. Il suffit de demander au chercheur en cybersécurité basé aux Pays-Bas Feike Hacquebord, qui avait passé quelques mois derrière son écran d’ordinateur à suivre les activités d’une équipe de pirates informatiques appelée RocketHack quand, en octobre 2020, il a eu une part de chance. Les données collectées par son employeur, Trend Micro, indiquaient une page Web utilisée par RocketHack pour surveiller ses victimes. N’exigeant aucun mot de passe pour entrer, cela lui a effectivement donné une vue d’atelier d’une opération animée de pirates informatiques.

La percée a conduit à la découverte que, au cours des quatre dernières années, l’équipe russophone de RocketHack a discrètement infiltré les comptes de messagerie et de télégramme, les PC et les téléphones Android de jusqu’à 3 500 personnes. Les cibles vont des journalistes, des militants des droits de l’homme et des politiciens aux ingénieurs en télécommunications et aux médecins de FIV dans quelques dizaines de cliniques, selon Hacquebord.

Ses découvertes fournissent une preuve saisissante qu’à côté des données établies (bien que controversé) des entreprises comme le groupe israélien NSO, qui fournit des services aux forces de l’ordre pour pirater des appareils, il existe une industrie clandestine d’acteurs comme RocketHack, qui s’introduira dans la vie numérique des gens pour le plus offrant, qu’il s’agisse d’un gouvernement, d’un client d’espionnage d’entreprise, d’un harceleur ou un conjoint violent.

Le modèle économique de RocketHack, selon le rapport d’Hacquebord, comme indiqué à Forbes avant la publication mercredi lors de la conférence sur la sécurité de Black Hat Europe, c’est simple : il « s’attaque aux données les plus privées et personnelles des entreprises et des particuliers, puis les vend à qui veut les payer ». Outre l’accès aux e-mails des personnes, l’équipage a également vendu des journaux d’enregistrements d’appels à partir de tours de téléphonie cellulaire, des données de compagnies aériennes et des informations bancaires, a déclaré Hacquebord. Forbes.

La principale méthode de piratage de RocketHack est le phishing avec des e-mails contenant des liens vers de fausses pages de connexion pour Google Gmail, le service de messagerie crypté Protonmail et Telegram, entre autres. Une publicité de 2018 des pirates suggérait que la violation du Protonmail axé sur la sécurité était son service le plus cher à 50 000 roubles (700 $ au taux de change d’aujourd’hui) tandis que le piratage d’un compte Gmail coûterait 40 000 roubles. Mais il est prouvé qu’avec certains fournisseurs de messagerie russes, ils ont une sorte d’accès plus profond, car ils proposent d’accéder à des comptes sans avoir besoin de tromper l’utilisateur avec des e-mails de phishing.

Sa liste de clients reste inconnue, mais elle semble être diversifiée et contenir probablement des clients d’États-nations. Sur sa liste cible figuraient deux candidats présidentiels en Biélorussie et un membre du parti d’opposition, dans un pays où un gouvernement répressif a cherché à réprimer la dissidence. Il visait également les courriels privés du ministre de la Défense d’un pays d’Europe de l’Est et de l’ancien chef d’une agence de renseignement non précisée. Des responsables gouvernementaux d’Ukraine, de Slovaquie, de Russie, du Kazakhstan, d’Arménie, de Norvège, de France et d’Italie ont tous été ciblés cette année. Des publicités antérieures sur des forums clandestins, telles que détaillées par la société de cybersécurité basée à Singapour Group-IB, indiquaient que l’équipage proposait de vérifier les antécédents de crédit des individus et s’ils étaient recherchés par les organismes d’application de la loi internationaux.

Hacquebord a affirmé qu’un certain nombre de piratages contre des militants des droits humains et des journalistes en Ouzbékistan, précédemment détaillés par Amnesty International et l’association canadienne à but non lucratif Equalit.ie, avaient été perpétrés par RocketHack. Cela comprenait le rédacteur en chef d’un site Web médiatique ouzbek. Plus de 25 journalistes dans le monde ont également été visés.

Que jusqu’à 70 médecins de FIV aient été piratés a été une surprise pour Hacquebord. Un officier des impôts russe figurait également sur la liste des cibles du pirate informatique. Il se peut que RocketHack ne ciblait pas ces individus pour une raison particulière, mais parce qu’ils étaient au courant d’une grande quantité de données personnelles, qui pourraient ensuite être vendues à une date ultérieure, a déclaré le chercheur. « On dirait qu’ils recherchent des sources ou leurs informations, peut-être pour vendre encore plus. »

Quant aux attaques axées sur la finance, elle a mis en place divers sites de phishing pour les échanges de crypto-monnaie et les portefeuilles de crypto-monnaie. Selon l’étude, l’échange de crypto-monnaie basé à Londres, Exmo, était un objectif particulier. RocketHack s’est attaqué non seulement aux clients, mais aussi aux dirigeants d’Exmo. L’un des dirigeants de l’entreprise a été kidnappé à Kiev, en Ukraine, en 2017, puis jeté d’un véhicule sur une autoroute par ses ravisseurs, selon rapports. (Exmo n’avait pas répondu à une demande de commentaire au moment de la publication.)

Parallèlement au phishing, le groupe exploite des logiciels malveillants pour espionner les appareils Android et Windows, a ajouté le chercheur. Il a découvert que le logiciel espion Android avait des modules pour espionner WhatsApp, enregistrer les appels et suivre l’emplacement.

Une dizaine de victimes par jour

Le groupe ne ralentit pas. Chaque jour, Hacquebord voit de nouvelles victimes de RocketHack. « Chaque jour, il y a peut-être une douzaine de nouvelles cibles », dit-il.

Bien qu’ils parlent russe, leurs origines sont un mystère. Oleg Dyorov, chef de l’unité de recherche de la société de cybersécurité basée à Singapour Group-IB, a déclaré que l’équipe de piratage était apparue pour la première fois en proposant des services sur le logiciel de messagerie cryptée Jabber en 2017, se concentrant souvent sur VK. Comme le réseau social est populaire dans les pays post-soviétiques, cela pourrait donner « des motifs de supposer que l’attaquant pourrait provenir de la région post-soviétique et y avoir également des clients », a ajouté Dyorov.

RocketHack n’est que l’un des nombreux opérateurs clandestins proposant de tels services de piratage informatique. Comme l’a dit un chercheur de la société de cyberintelligence Intel 471 Forbes, « Le marché du rachat de compte est très lucratif et, comme le montre RocketHack, il ne faut pas beaucoup d’efforts pour causer beaucoup de dégâts. »

« Les cybercriminels travaillent dans un environnement relativement compétitif », a ajouté Dyorov.

Hacquebord n’a informé qu’une poignée de victimes de RocketHack qu’elles avaient été piratées. Mais, après avoir observé le groupe pendant plus d’un an, il prévoit maintenant d’informer les forces de l’ordre des activités de RocketHack. Il ne sait pas quel impact cela aura. « Je pense que beaucoup de pays pourraient considérer leurs cybermercenaires dans leur propre région comme un atout national », a-t-il ajouté. « Il est donc difficile de leur dire de simplement les fermer. »