Le monde des hackers est une nébuleuse où sévissent aussi des groupes spécialisés dans l'espionnage et la collecte de renseignement. Ces groupes sont le plus souvent rattachés à un état ou à une idéologie mais se comportent aussi parfois comme des mercenaires.

Domestic Kitten : l'œil de Téhéran

Vous êtes un jeune Iranien et comme la plupart de vos camarades d'université, vous vous êtes soulevé contre le régime des Mollahs. Pour s'armer intellectuellement, votre groupe a acheté des livres sur les différentes manières de se révolter ou d'organiser un syndicat. Or, ces livres censurés en Iran ne sont achetables que via des revendeurs qui se fournissent en Turquie ou en Azerbaïdjan. Et souvent ils ont en version anglaise. Mais pas de problème, vous allez sur le site downloadmaghaleh.com qui permet d'avoir accès à un grand nombres d'articles et de livres traduits de l'anglais en persan, et qui fait aussi office de traducteur. Vous téléchargez l'application et l'utilisez pour traduire les livres que vous avez achetés au marché noir…. Deux jours plus tard, des miliciens Basidji forcent la porte de votre appartement et vous arrêtent. Tout cela à cause du malware FurBall, créé par le groupe de hackers Domestic Kitten.

Ce malware peut changer de forme mais son objectif reste le même : collecter des informations sur les Iraniens. La nouvelle version se camoufle sur un faux site downloadmaghaleh.com et imite à la perfection l'original. Et une fois l'application téléchargée sur votre smartphone, Domestic Kitten a accès à votre géolocalisation, vos contacts, vos messages, vos applications, vos fichiers. De plus, l'application espionne peut prendre le contrôle de votre appareil photo et faire des vidéos et photos à votre insu. Enfin, il peut extraire la liste de vos contacts et la transférer à Domestic Kitten. Nous n'avons aucune preuve que Domestic Kitten  soit affilié au régime des Mollahs mais ce qui est sûr, c'est qu'il remplit des missions pour son compte. Néanmoins, Domestic Kitten est très actif et Furball change régulièrement de forme, ce qui veut dire qu'une équipe de développeurs s'en occupe régulièrement, c'est ce que nous confiait Benoit Grunewald d'ESET.

Les Loups, traqueurs de gülenistes

Vous êtes une entreprise de télécommunications française, et vos équipes sont présentes dans la plupart des pays du monde. Un jour, lors d'un audit de sécurité, votre prestataire vous informe que vos systèmes se situant dans les zones Afrique, Moyen-Orient et Europe ont été victimes d'une cyberattaque. Rien ne manque mais les assaillants avaient installé une backdoor pour avoir accès aux informations de certains utilisateurs. Ces derniers ont une chose en commun : ils portent des noms turcophones et sont originaires de Turquie. Les hackers semblaient vouloir chercher leurs lieux d'habitation, les personnes qu'ils cherchaient à joindre, leurs lignes fixes ou mobiles et leurs adresses mails. Ces utilisateurs sont en fait des gülenistes, membres d'un courant de l'islam turc créé par Fethullah Gülen. Ce mouvement s'est lié avec l'AKP d'Erdogan et les deux groupes se sont mutuellement aidés jusqu'en 2013, avant un divorce qui s'est accentué après la tentative de coup d'Etat ayant ciblé Erdogan le 15 juillet 2016.

Depuis, les gülenistes sont traqués pour trahison et pour les repérer hors de ses frontières, l'Etat turc compte sur l'aide de ses alliés mais aussi de la cyber armée turque ou Loups. CrowdStrike nous confiait qu'ils les appelaient les Cosmic Wolves. Ces Loups doivent débusquer les gülenistes résidants à l'étranger, les surveiller et surtout transmettre les informations obtenues au MIT (les services secrets turcs). Au début, cette cyber armée turque, composée de volontaires, s'attaquait surtout à des sites internet grecs ou arméniens mais depuis 2016, elle a réellement muté et est montée en compétence. Le fait qu'elle serve de chien débusqueur pour trouver les gülenistes à l'étranger en est une preuve. Enfin, elle se fait la plus discrète possible, et à moins de réaliser un audit de sécurité, la plupart des victimes, qui sont des entreprises de télécommunications, ne savent même pas qu'elles ont été piratées. 

Bahamut, mercenaire du renseignement

Jeune employé pour une grande entreprise de la tech, vous êtes accro à la salle de sport depuis bientôt une année. Un jour, vous recevez un e-mail de promotion pour vous inscrire à la nouvelle salle de sport se situant à coté de votre travail. Sans hésiter, vous cliquez et vous inscrivez sur le site. Une semaine plus tard, vous vous rendez à cette salle de sport … et on vous annonce qu'il n'y a jamais eu d'offres d'inscription par e-mail. Vous signalez à vos employeurs que vous avez été victime d'un phishing et l'entreprise découvre alors que de nombreuses données ont été dérobées via une vaste campagne ayant ciblé ses employés. Néanmoins, on ne parle pas d'un phishing basique mais personnalisé pour chaque employé, avec mails renvoyant vers des sites aussi vrais que nature. D'autres ont été victimes de fausses applications voleuses de données.

Votre compagnie a été victime d'une campagne de cyberattaques menée par Bahamut, un groupe de cybercriminels mercenaires connu pour sa grande patience : ils traquent parfois une proie pendant un an avant de passer à l'attaque. Ils sont très attachés à la discrétion et donc favorisent le phishing et les applications piégées à la place des malwares. Ils sont présents dans le monde entier et ne revendent jamais les données qu'ils volent. Ils les donnent à leurs commanditaires. Ce groupe ne respecte aucun drapeau, il cible n'importe qui contre de l'argent, Etats, ONG, entreprises et particuliers.

Les hackers chinois, chasseurs de minorités et d'opposants

L'Etat chinois est à la pointe de la surveillance de masse, avec notamment l'utilisation de caméras à reconnaissance faciale. Toutes les applications occidentales sont interdites et remplacées par des applications locales qui surveillent leurs utilisateurs. Le tout est chapoté d'un système de crédit social qui sanctionne les "mauvais gestes". Mais Pékin peut déléguer une partie de ce travail comme elle le fait pour la surveillance des Ouighours avec le groupe de hackers Scarlet Mimic. Ce sont les experts de Check Point Research qui ont découvert ce groupe. Il faut ajouter à cette activité l'espionnage de la branche canadienne d'Amnesty international : les hackers étaient à la recherche d'informations sur les opposants ouïgours et les preuves qu'Amnesty aurait en sa possession sur le génocide en cours. 

Mais pourquoi utiliser de tels groupes ?

Pour commencer, certains pays n'ont ni les moyens financiers ni les moyens techniques de pouvoir créer des unités de renseignement cyber, donc le fait de recourir à des cybers mercenaires comme Bahamut les arrangent. Pour d'autres, comme l'Iran, le fait d'avoir des groupes de cybercriminels espions permet d'externaliser les coûts.  Pour un pays qui est en récession économique et dont le budget militaire est largement axé sur le nucléaire, cette externalisation n'est pas négligeable. De plus, cela doit permettre à certains membres des Basidji d'arrondir leur fin de mois en recevant des primes supplémentaires pour leur rôle au sein de Domestic Kitten.

Pour la Chine, l'utilisation de tels groupes n'a qu'un seul intérêt : nier. Si jamais un des ces groupes travaillant pour la Chine se fait repérer, Pékin n'aura qu'à réfuter toute implication et pourra même arrêter ces cybercriminels et ainsi montrer sa bonne foi.

Pour la Turquie, la raison de l'utilisation de tels groupes vient du fait que l'appareil militaire turc a beaucoup souffert des conséquences de la tentative de coup d'Etat de 2016. Un grand nombre de militaires  a été mis à pied et certaines branches de l'armée en ont grandement souffert, comme les pilotes de chasse par exemple. Il n'est pas à exclure que l'utilisation de Loups permet de combler un trou dans les effectifs de l'armée mais que cet usage ne se fera pas sur le long terme, juste le temps que les unités cyber de la Turquie soient remises sur pied.  


Source link