Posté le février 5, 2023 à 7:20
LES HACKERS RUSSES DERRIÈRE WHISPERGATE UTILISENT UN LOGICIEL MALVEILLANT POUR VOLER DES DONNÉES EN UKRAINE
Les groupes d’acteurs de la menace pro-Russes ont intensifié leurs activités au cours des derniers mois. Des chercheurs en sécurité ont récemment publié un rapport indiquant qu’ils avaient détecté un groupe de hackers Russes derrière les attaques de logiciels malveillants lancées par les hackers du WhisperGate. Ces attaques par logiciels malveillants visaient des institutions en Ukraine pour voler des informations sensibles.
Les hackers derrière WhisperGate ciblent l’Ukraine avec un logiciel malveillant de vol de données
L’équipe de Symantec Threat Hunter a attribué la campagne de piratage à un groupe d’acteurs de la menace pro-russe connu sous le nom de TA471 ou UAC-0056. Ce groupe de hackers cible activement des institutions et des particuliers depuis le début de l’année 2021, et il réalise des piratages qui s’alignent sur les objectifs du gouvernement Russe.
Ce groupe de hackers cible principalement l’Ukraine et s’est également attaqué activement aux membres de l’OTAN en Europe et en Amérique du Nord. Les activités du groupe de hackers TA471 ont également été associées à WhisperGate. Ce dernier est un logiciel malveillant destructeur qui a été utilisé pour lancer un large éventail de cyberattaques visant des particuliers et des institutions en Ukraine. Les activités de WhisperGate en Ukraine ont débuté en janvier de l’année dernière.
Le logiciel malveillant en question se présente comme un ransomware, où les acteurs de la menace cherchent à extorquer les victimes ciblées. En outre, les acteurs de la menace ont fait en sorte que les appareils ciblés ne soient pas interopérables et ne puissent pas accéder aux fichiers. Les hackers ont également l’habitude de ne pas céder le contrôle des appareils ciblés malgré le paiement de la rançon.
Les chercheurs de Symantec ont également déclaré que la dernière campagne de piratage lancée par ce groupe d’acteurs de la menace utilise les informations d’un logiciel malveillant voleur d’informations connu sous le nom de « Graphiron. » Ce logiciel malveillant est utilisé pour cibler des organisations en Ukraine et a été utilisé pour voler des données sur des machines compromises à partir d’octobre 2022. Le logiciel malveillant est resté actif jusqu’à la mi-janvier 2023.
Les chercheurs ont noté que le logiciel malveillant faisait toujours partie de la boîte à outils des hackers. Le logiciel malveillant est utilisé pour voler des informations et utilise les noms de fichiers créés sous la forme de fichiers Microsoft Office légitimes. Le logiciel malveillant est similaire aux autres outils utilisés par le groupe de hackers TA471, notamment GraphSteel et GrimPlant.
Ces outils étaient auparavant utilisés dans des campagnes de spear-phishing qui ciblaient des institutions gouvernementales en Ukraine. Cependant, un rapport de Symantec indique que Graphiron a été conçu pour exfiltrer davantage de données des cibles. Parmi les données accessibles à l’aide de ce logiciel malveillant figurent des captures d’écran et des clés SSH privées.
L’analyste principal de l’équipe Symantec Threat Hunter, Dick O’Brien, a commenté ce développement en disant que les informations recueillies par ce groupe de hackers pourraient être utilisées en matière de renseignement. En outre, ces informations pourraient par ailleurs être utilisées pour accéder à d’autres informations de l’institution ciblée ou pour relancer diverses attaques destructrices.
O’Brien a ajouté que l’on sait peu de choses sur l’origine de ce groupe de hackers et sur la stratégie qu’il utilise pour mener ses opérations. TA471 est devenu l’un des plus grands groupes d’acteurs de la menace en matière de cybersécurité utilisés pour mener des campagnes de cybersécurité contre l’Ukraine. Les groupes de hackers pro-Russes ont activement ciblé l’Ukraine et ses alliés occidentaux depuis le début de la guerre.
Les hackers pro-Russes continuent de lancer des attaques
La dernière campagne d’espionnage menée par TA471 intervient quelques jours après que le gouvernement Ukrainien a émis une alerte concernant un groupe de hackers parrainé par l’État et soutenu par la Russie. Ce groupe de hackers, également connu sous le nom de UAC-0010, a continué à mener diverses attaques de cybersécurité visant des organisations basées en Ukraine.
Le Centre de cyberprotection pour l’Ukraine a commenté cette évolution en déclarant que les hackers modifiaient sans cesse leurs stratégies d’attaque, ce qui rendait difficile pour les organisations de suivre ces changements. Par conséquent, la menace croissante des attaques de cybersécurité reste une préoccupation en raison de la nature sophistiquée des attaquants.
« Bien qu’ils utilisent principalement des ensembles répétés de techniques et de procédures, les adversaires évoluent lentement mais avec insistance dans leurs tactiques et redéveloppent les variantes de logiciels malveillants utilisées pour rester indétectés. Par conséquent, il reste l’une des principales cybermenaces auxquelles sont confrontées les organisations de notre pays », a déclaré le Centre de cyberprotection de l’Ukraine.
On constate une augmentation significative des cyberattaques lancées par des groupes d’acteurs de la menace pro-Russes. Récemment, des hôpitaux basés aux États-Unis ont été la cible d’une série d’attaques de cybersécurité utilisant des exploits de déni de service distribué. Ces exploits sont menés par un autre groupe d’acteurs de la menace pro-Russe, connu sous le nom de Killnet. Des attaques DDoS similaires ont par ailleurs été lancées contre des compagnies aériennes Américaines.
