Posté le novembre 22, 2019 à 16:23

LE GROUPE RUSSE SANDWORM ATTAQUE DES MILLIERS DE TÉLÉPHONES ANDROID

Google a découvert que Sandworm, un groupe de hackers sponsorisés par la Russie, lançait quelques-unes des cyberattaques les plus dangereuses de l’histoire. Ces dernières années, la plupart des attaques de Sandworm n’ont pas été remarquées. Mais ils ont mené de nombreuses cyberattaques, notamment en Ukraine.

En 2014, l’opération a été pointée du doigt suite à l’attaque de logiciels malveillants contre United States Electric Utilities.  Et récemment, ils ont infiltré la compagnie d’électricité du gouvernement ukrainien, ce qui a provoqué des pannes d’électricité.

Quelques découvertes surprenantes sur Sandworm

Billy Leonard et Neel Mahta, chercheurs en sécurité de Google, étudient les activités de ces groupes de hackers depuis 2017. Les Sandworms ont été impliqués dans la perturbation des Jeux olympiques d’hiver. Ils ont également ciblé les élections françaises mais ont échoué.

Mais il semble que les attaquants ont changé de cible. Ils ne sont plus après des attaques politiques et gouvernementales. Récemment, ils ont essayé d’utiliser des applications rouge pour infecter des milliers de téléphones Android. Ils sont même allés jusqu’à corrompre les développeurs Android d’infiltrer l’application.

L’influence des attaquants continue de croître

Selon les chercheurs, ces groupes de personnes n’ont pas fait l’objet d’une attention sérieuse dans le passé. Mais leurs activités et opérations récentes ont suscité de graves préoccupations. Les chercheurs ont affirmé que leurs activités sont assez dévastatrices, mais ils n’ont pas reçu d’attention sérieuse comme l’autre groupe de hackers russes appelé Fancy Bear ou APT28.

Ironiquement, on pense que les Sandworms et APT28 font partie de la GRU, la division du renseignement militaire de la Russie.

Au cours de la conférence CyberwarCon, Leonard a expliqué à WIRED que depuis de nombreuses années, Sandworm était très efficace dans ses opérations. Ils l’ont fait par le biais d’une attaque de réseau informatique (CNA). Ce type de piratage est assez différent de la cybercriminalité ou de l’espionnage. La nature de la campagne de piratage informatique de Sandworm rend le suivi difficile. Ils ont mené une campagne exhaustive qui passe largement inaperçue, a dit M. Leonard.

Google enquête toujours sur les opérations de Sandworm

Google a ouvert son enquête sur l’attaque de Sandworm sur les téléphones Android, il y a deux ans. Selon FireEye, c’est la même période que Sandworm a décidé de perturber les Jeux olympiques d’hiver de 2018 en Corée du Sud.

Mehta et Leonard ont également souligné que leurs recherches avaient révélé que les hackers étaient engagés dans une autre mission. Ils ont dit que les hackers développaient des versions malveillantes des applications Android en langue coréenne. Ces applications sont dans les domaines de la finance, des médias et du calendrier de transport en commun. Ils voulaient ajouter leur logiciel malveillant connu sous le nom de Wrapper, à ces applications et les proposer en téléchargement sur Google Playstore.

Lorsque Google a remarqué ces applications malveillantes, il s’en est débarrassé. Mais il a découvert plus tard que le même logiciel malveillant était déjà implanté sur l’application de messagerie ukrainienne. Leonard a fait remarquer que cela montre que l’Ukraine était le terrain d’essai des hackers avant de lancer leurs attaquants ailleurs.

L’Ukraine utilisée comme terrain d’essai

Mehta et Leonard ont révélé que les hackers avaient pu s’infiltrer dans environ 1 000 applications, y compris celles en provenance d’Ukraine. Les chercheurs ne sont pas encore certains des dommages que le logiciel malveillant a été conçu pour causer. Mais le logiciel malveillant qu’ils ont vu a été programmé pour télécharger d’autres logiciels malveillants. Leonard a expliqué que le but des hackers pourrait être de détruire des données ou de faire de l’espionnage.

Il y a à peine un an, Google a dit que Sandworm a tenté à nouveau de compromettre les appareils Android. Google a réitéré que cette fois, l’attaque était plus complexe et sophistiquée que les tentatives des hackers précédentes. Sandworm a décidé d’aller à la source principale cette fois.

Les attaquants ont utilisé des pièces jointes malveillantes pour tenter de tromper les développeurs android. Ils avaient l’intention de lancer le Powershell Empire, une plate-forme de piratage populaire, pour exploiter toutes les vulnérabilités de Microsoft Office. Cependant, ils ont échoué dans cette tentative.

Mais, encore une fois, ils ont réussi en Ukraine en compromettant l’application histoire en Ukraine. Google affirme que les hackers n’ont infiltré aucun téléphone cette fois-ci. Ils auraient pu infecter des téléphones si Google n’avait pas remarqué le logiciel malveillant à temps.

Google a indiqué avoir suivi une campagne ciblant les Russes en 2018. C’était un nouveau, comme l’a décrit le géant de l’Internet. Les chercheurs ont dit que cette attaque était mystérieuse parce que les attaquants étaient du même pays.

Les victimes de l’attaque comprenaient des sociétés financières, des sociétés immobilières et des vendeurs d’automobiles russes. On se demande toujours pourquoi Sandworm pourrait lancer une attaque contre les Russes, étant donné que Sandworm fait partie de l’équipe GRU du gouvernement russe. Mais Google n’a pas commenté davantage ses spéculations concernant les motifs de Sandworm.