Des pirates auraient-ils sérieusement des liens avec le gouvernement biélorusse, ciblant les diplomates étrangers dans le pays depuis près de 10 ans ?
Selon les chercheurs en sécurité, cela semble être le cas. Jeudi dernier, la firme antivirus ESET a publié un rapport détaillant les activités d’un groupe de piratage gouvernemental récemment découvert, surnommé MoustachedBouncer. Ce groupe aurait ciblé, ou du moins essayé de cibler, les diplomates en interceptant leurs connexions au niveau du fournisseur de services Internet (ISP), ce qui suggère une étroite collaboration avec le gouvernement biélorusse. Mais quelle est l’ampleur de leurs activités ?
Nous savons que depuis 2014, MoustachedBouncer a ciblé au moins quatre ambassades étrangères en Biélorussie : deux nations européennes, une d’Asie du Sud, et une autre d’Afrique.
Que cherchent-ils exactement dans ces attaques ? « Les opérateurs ont été formés pour trouver des documents confidentiels, mais nous ne sommes pas sûrs exactement de ce qu’ils cherchaient », a déclaré le chercheur d’ESET, Matthieu Faou, dans une interview accordée à TechCrunch avant sa présentation à la conférence Black Hat sur la cybersécurité à Las Vegas.
Le premier exemple de MoustachedBouncer a été détecté par ESET en février 2022, quelques jours après l’invasion de l’Ukraine par la Russie, avec une cyberattaque contre des diplomates spécifiques dans l’ambassade d’un pays européen « quelque peu impliqué dans la guerre », a déclaré Faou, sans nommer le pays. Comment cela a-t-il été possible ?
En manipulant le trafic réseau, le groupe de piratage a réussi à tromper le système d’exploitation Windows de la cible, le faisant croire qu’il est connecté à un réseau avec un portail captif. La cible est ensuite redirigée vers un site malveillant et faux se faisant passer pour Windows Update, qui avertit la cible qu’il existe des « mises à jour de sécurité du système critiques qui doivent être installées », selon le rapport.
Serait-il plausible que des pirates informatiques puissent intercepter et modifier le trafic – une technique connue sous le nom d’adversaire en milieu ou AitM ? Les chercheurs d’ESET pensent que c’est le cas parce que les FAI biélorusses collaborent avec les attaques, permettant aux pirates d’utiliser un système d’interception légitime similaire à celui déployé par la Russie, connu sous le nom de SORM. Mais est-ce réellement le cas ?
La réalité de ce système de surveillance est connue depuis des années. En Biélorussie, tous les fournisseurs de télécoms « doivent rendre leur matériel compatible avec le système SORM », selon un rapport d’Amnesty International de 2016. Mais jusqu’où ces attaques ont-elles été poussées ?
Une fois que les chercheurs d’ESET ont découvert l’attaque en février dernier et ont analysé le logiciel malveillant utilisé, ils ont pu découvrir d’autres attaques – la plus ancienne remontant à 2014 – bien qu’il n’y ait aucune trace d’entre elles entre 2014 et 2018, selon Faou. « Ils sont restés sous le radar pendant longtemps. Et cela signifie qu’ils ont réussi à compromettre des cibles de haut profil telles que des diplomates, alors que personne n’en parlait vraiment, et qu’il y a eu très peu d’échantillons de logiciels malveillants disponibles pour l’analyse », a-t-il déclaré. Mais qu’est-ce que cela signifie pour la sécurité de nos systèmes ?
Source : Techcrunch