Posté le juin 10, 2020 à 17:43
DES CENTAINES D’ORGANISATIONS CIBLÉES PAR DES HACKERS À GAGES
Un rapport récent révèle que des centaines d’institutions et des milliers d’individus ont été ciblés par un groupe de hackers à gages connu sous le nom de « Dark Basin ».
Selon la société de sécurité Internet Citizen Lab, les victimes comprennent des spéculateurs, des avocats, des élus, des journalistes, des groupes de défense, ainsi que des entreprises.
Hier, la société de sécurité a rapporté que les hackers ont créé environ 28 000 pages web pour des attaques personnalisées de « harponnage » destinées à voler des mots de passe.
Les hackers ont infecté des secteurs sensibles de la politique et des affaires
Selon l’auteur principal du rapport, John Scott-Railton, les hackers étaient plus occupés dans les secteurs controversés des affaires et de la politique.
« Nous les voyons encore et encore dans des domaines où les affaires et la politique sont controversées », a-t-il déclaré.
Le rapport a révélé que plusieurs groupes d’organisations et d’individus ciblés étaient impliqués dans des questions environnementales, alors qu’ils faisaient campagne contre le producteur de pétrole américain ExxonMobil.
Ces organisations ciblées comprennent l’Union of Concerned Scientists, la Conservative Law Foundation, Greenpeace, le Climate Investigation Center, ainsi que le Rockefeller Family Fund. Cependant, Exxon dit vouloir examiner le rapport complet avant de se prononcer sur la situation. Le rapport ajoute que le Département américain de la justice (DOD) dispose de documents pertinents.
Une autre enquête a été organisée par la société de cybersécurité NortonLifeLock pour examiner en profondeur l’activité de piratage.
Citizen LAB a déclaré que le piratage de Dark Basin a eu un impact important, car il a touché plusieurs industries. Le groupe de chercheurs a ajouté que les principaux exemples étaient les journalistes, les vendeurs à découvert, les spéculateurs de fonds et les enquêteurs de cartes bancaires qui travaillent sur les irrégularités comptables.
Wirecard est l’une des entreprises les plus célèbres d’Allemagne, qui connaît des problèmes de sécurité critiques depuis des années. Le conseil d’administration de la société fait l’objet d’une enquête pour manipulation du marché. Mais les dirigeants de l’entreprise ont nié toute faute.
Citizen Lab a souligné que les agresseurs ont ciblé certains individus quotidiennement pendant plusieurs mois. L’équipe de sécurité a également révélé que les messages privés de certaines personnes ciblées ont été diffusés en ligne.
Le groupe de hackers en lien avec une entreprise indienne
Selon le rapport, le groupe de hackers à gages chargé de mener les attaques est lié à BellTroX InfoTech, une société indienne qui propose des services de cyber-intelligence.
Le numéro de téléphone officiel de la société a été déconnecté et son site web a été supprimé il y a quelques jours. Cependant, elle n’a pas répondu à une demande de commentaires par e-mail sur ce développement.
En 2015, un ressortissant indien et plusieurs enquêteurs ont été inculpés par le DoJ américain pour leur rôle dans un autre projet de piratage informatique. L’un des accusés a été condamné à une peine d’emprisonnement, tandis que quatre d’entre eux ont plaidé coupable à cette accusation. Le ressortissant indien inculpé est le directeur de BellTrox.
Le piratage informatique dénoncé grâce à un paiement contractuel
Le Citizen Lab a réitéré que des cas de piratage similaires dans le passé ont été réalisés par le biais d’un système de partage d’informations, de paiement et de contrats, qui peut inclure des enquêteurs privés et des cabinets d’avocats. Il offre au client la possibilité d’avoir un niveau de distance et de déni sur le contrat au cas où quelque chose tournerait mal.
Le Citizen Lab a commencé à enquêter sur cette activité de piratage en 2017, lorsqu’un journaliste de Reuters a contacté la société au sujet des activités de la Wirecard et de la façon dont elle avait fait l’objet d’une attaque par hameçonnage.
Plusieurs autres journalistes du Financial Times ont également été la cible de l’hameçonnage car ils ont reçu de faux emails prétendant provenir de leurs amis ou collègues. Parfois, pour convaincre la victime, ils soulèvent des photos de leurs amis à partir de comptes de médias sociaux pour se faire passer pour l’utilisateur.
Auparavant, Financial Times avait révélé qu’un ancien chef des services de renseignement libyens avait financé une opération de surveillance à Londres, qui visait certains investisseurs qui critiquaient Wirecard.
Le groupe de paiement a déclaré hier que Wildcard AG n’a aucune relation ou lien avec un groupe de hackers en Inde. « Wirecard AG n’a à aucun moment été en contact direct ou indirect avec un groupe de hackers indiens », selon la déclaration.
Le groupe Dark Basin a utilisé des attaques par hameçonnage qui ressemblent à des emails provenant de services populaires tels que LinkedIn, Dropbox et YouTube. Leurs emails contenaient des URL, avec des pages conçues pour ressembler à des formulaires de connexion.
Citizen La a souligné que la persistance dans le temps, le volume des messages, la spécificité de la cible et la sophistication du contenu des appâts variaient fortement.
L’entreprise de sécurité a également rappelé qu’elle avait identifié plusieurs employés de BellTrox exerçant des activités similaires à celles de Dark Bassin parce qu’ils utilisaient leurs documents comme appât lorsqu’ils testaient leurs raccourcisseurs d’URL.
Dans le même ordre d’idée, ils ont publié des messages sur les médias sociaux, décrivant l’infrastructure de Dark Bassin et s’attribuant le mérite de leurs méthodes d’attaque.