Getty Images/iStockphoto
Trend Micro lève le voile sur Void Balaur, un groupe de cybermercenaires
Selon les recherches de Trend Micro, ce groupe de mercenaires serait actif depuis 2015 et aurait visé individus d’importance et entreprises de renom à travers le monde.
Pendant plus de cinq ans, un groupe de cybermercenaires est apparemment passé inaperçu, piratant avec succès des cibles importantes, selon de nouvelles recherches de Trend Micro.
Dans un document de synthèse publié la semaine dernière, Feike Hacquebord, chercheur principal sur les menaces chez Trend Micro, détaille les activités du groupe qu’il a baptisé Void Balaur. Ces activités consistaient principalement en du cyberespionnage et du vol de données dans plusieurs pays. Si les pirates ont principalement utilisé des attaques de phishing classiques et des maliciels « apparemment simples » tels que Z*Stealer et DroidWatcher, ils n’en ont pas moins réussi à faire plus de 3 500 victimes.
Trend Micro est le premier à donner une image plus complète de ce groupe de cybermercenaires qu’il soupçonne d’être actif depuis 2015. Mais Amnesty International et Deflect Labs avaient déjà publié des éléments, en 2020 pour le premier et 2019 pour le second ; tous deux ont fait état d’incidents en Ouzbékistan contre des journalistes et des militants des droits civils.
Après une enquête d’un an, les chercheurs de Trend Micro ont découvert que l’éventail des cibles était bien plus large, avec notamment des organismes d’assurance médicale et des cliniques de fécondation in vitro russes, des constructeurs d’automates bancaires et des opérateurs télécoms mobiles. Selon Feike Hacquebord, les cibles médicales ne sont pas surprenantes en raison des sommes d’argent et des informations personnelles en jeu.
Bien que le groupe comprenne un acteur malicieux russophone connu sous le pseudonyme Rockethack, Feike Hacquebord estime peu probable que Void Balaur soit un groupe directement lié à un État. Les cibles étant réparties dans de nombreux pays, dont la Russie, Trend Micro attribue ces activités à des cybermercenaires.
Pour les attaques contre les médias et les militants des droits civiques liés à l’Ouzbékistan, qui ont commencé en 2016, les chercheurs de Trend Micro ont constaté qu’un client avait été en mesure d’acheter les services du groupe de mercenaires avant même que ce dernier ne commence à faire activement de la publicité sur les forums fréquentés par les cybermalfaiteurs : « cela montre que Void Balaur est engagé pour des campagnes à long terme, ce que nous avons également constaté pour d’autres cibles », indique Feike Hacquebord.
L’objectif principal de Void Balaur est peut-être encore plus préoccupant : « Void Balaur s’attaque aux données les plus privées et personnelles des entreprises et des particuliers, puis les vend à qui veut bien les payer ».
Trend Micro n’a pas déterminé comment le groupe a réussi à « rassembler un tel éventail d’informations, notamment en ce qui concerne les données de télécommunications ». Avec ces dernières, Void Balaur pourrait vendre des détails d’appels téléphoniques assortis de données de géolocalisation pouvant révéler qui a appelé qui, quand, pendant combien de temps, d’où. Les analystes soupçonnent que des ingénieurs en télécommunication, voire les systèmes d’opérateurs eux-mêmes, ont été compromis.
Feike Hacquebord a indiqué à nos collègues de SearchSecurity (groupe TechTarget) qu’il est difficile de calculer le taux de réussite exact du groupe, mais il a ajouté que les commentaires des clients qu’il a observés sur les forums clandestins sont très positifs.
Pour lui, ce succès est notamment lié au recours à l’ingénierie sociale : il n’a pas observé l’utilisation de vulnérabilités inédite, des zero-day, mais a principalement étudié les campagnes de phishing du groupe. Son document de synthèse mentionne l’utilisation du piratage de comptes de messagerie de fournisseurs de courrier électronique et de médias sociaux. Dans certains cas, Feike Hacquebord a constaté que Void Balaur pouvait « fournir des copies complètes de boîtes aux lettres volées sans aucune interaction de l’utilisateur pour un prix plus élevé ».
Dans un billet de blog, Trend Micro souligne que « ce dernier point est particulièrement intéressant, car il faudrait des circonstances inhabituelles, telles qu’une complicité interne ou la compromission du système d’un fournisseur de messagerie, pour pouvoir offrir des données privées sans interaction avec l’utilisateur ».
Feike Hacquebord a relevé une autre caractéristique de Void Balaur : la patience. Le groupe peut se concentrer très longtemps sur une cible. Mais selon lui, il y a également des moments où Void Balaur ne ciblait personne. Ce qui pourrait contribuer à expliquer sa furtivité.
D’ailleurs, la découverte des détails de Void Balaur n’a pas été une tâche facile pour les chercheurs de Trend Micro. Initialement, ils ont été informés par une cible de longue date de Pawn Storm, autre nom du groupe de cyberespionnage russe Fancy Bear. L’épouse de la cible a reçu une douzaine d’e-mails de phishing sur son compte Gmail. En l’absence d’indicateurs de Fancy Bear, Trend Micro a pu établir un lien avec le groupe de cybermercenaires.
Pour autant, selon Feike Hacquebord, les seuls éléments recueillis par Trend Micro au cours des six premiers mois n’ont été que quatre à cinq indicateurs. C’est un long travail de surveillance qui a permis d’aller plus loin, et notamment de découvrir des cibles parmi les clients de l’éditeur.
« Mais nous n’étions pas en mesure d’aller au-delà pour obtenir des informations vraiment approfondies », a expliqué Feike Hacquebord à SearchSecurity.
C’est à l’automne 2020 que les choses se sont débloquées : « en octobre de l’année dernière, quelqu’un a utilisé l’appareil d’un client pour accéder à des tableaux de bord utilisés par Void Balaur pour envoyer des e-mails afin d’ajouter des cibles, d’en supprimer, de consulter les traces d’activité, tester des liens de phishing. Et puis en décembre, ils ont recommencé. Ils n’étaient protégés par aucune application, nous pouvions donc y accéder également ».
Fort d’une meilleure connaissance de Void Balaur, Trend Micro a déterminé que le groupe possède les outils et les ressources nécessaires pour attaquer des « cibles de premier plan ».
L’éditeur exhorte les entreprises à mettre en place des mesures de détection et de protection contre Void Balaur. Outre les mesures concrètes telles que l’autorisation à deux facteurs, la suppression des anciens messages et le chiffrement des disques durs de toutes les machines, Feike Hacquebord souligne que Trend Micro répertorie plus de 4 000 marqueurs techniques, que les entreprises peuvent télécharger.