Groupe de pirates informatiques indien : 10 ans de ciblage des États-Unis et des pays voisins

Un groupe indien de pirates informatiques a ciblé les États-Unis, la Chine, le Myanmar, le Pakistan, le Koweït et d’autres pays dans le cadre d’une vaste opération d’espionnage, de surveillance et de perturbation qui s’est déroulée pendant plus de dix ans.

Selon une analyse approfondie de SentinelOne, Appin Software Security (alias Appin Security Group) a débuté en tant que startup éducative proposant des programmes de formation à la sécurité offensive, tout en menant des opérations de piratage secrètes depuis au moins 2009.

En mai 2013, ESET a révélé une série de cyberattaques ciblant le Pakistan avec des logiciels malveillants de vol d’informations. Bien que l’activité ait été attribuée à un groupe suivi sous le nom de Hangover (alias Patchwork ou Zinc Emerson), les preuves montrent que l’infrastructure est détenue et contrôlée par Appin.

« Le groupe a mené des opérations de piratage contre des personnes de grande valeur, des organisations gouvernementales et d’autres entreprises impliquées dans des litiges juridiques spécifiques », a déclaré Tom Hegel, responsable de la sécurité chez SentinelOne, dans une analyse détaillée publiée la semaine dernière. « Les opérations de piratage et l’organisation générale d’Appin semblent souvent informelles, maladroites et techniquement rudimentaires ; cependant, leurs opérations se sont révélées très fructueuses pour leurs clients, influençant les affaires mondiales avec un succès significatif. »

Ces conclusions se fondent sur des données non publiques obtenues par Reuters, qui a accusé Appin d’avoir orchestré des attaques de vol de données à l’échelle industrielle contre des dirigeants politiques, des cadres internationaux, des personnalités du monde du sport et d’autres personnes. En réponse, l’entreprise a mis fin à ses liens avec l’activité de piratage informatique. L’un des principaux services proposés par Appin était un outil appelé « MyCommando » (alias GoldenEye ou Commando) qui permettait à ses clients de se connecter pour consulter et télécharger des données spécifiques à la campagne et des mises à jour, de communiquer en toute sécurité et de choisir parmi diverses options de tâches allant de la recherche de sources ouvertes à l’ingénierie sociale en passant par une campagne de chevaux de Troie. Le ciblage de la Chine et du Pakistan confirme qu’un groupe de mercenaires d’origine indienne a été recruté pour mener des attaques parrainées par des États. Appin a également été identifié comme étant à l’origine du logiciel espion macOS connu sous le nom de KitM en 2013. De plus, SentinelOne a déclaré avoir également identifié des cas de ciblage national dans le but de voler les identifiants de connexion de comptes de messagerie appartenant à des Sikhs en Inde et aux États-Unis. « Dans le cadre d’une campagne sans rapport, le groupe a également utilisé le domaine speedaccelator[.]com pour un serveur FTP, hébergeant des logiciels malveillants utilisés dans leurs courriels d’hameçonnage malveillants – dont l’un a été utilisé sur une personne indienne qui a ensuite été ciblée par l’APT ModifiedElephant », a noté Hegel. Il convient de noter que les liens entre Patchwork et ModifiedElephant avaient déjà été identifiés par Secureworks… Outre l’utilisation d’une vaste infrastructure provenant d’un tiers pour l’exfiltration de données, le commandement et le contrôle (C2), le phishing et la mise en place de sites leurres, l’acteur offensif du secteur privé (PSOA) se serait appuyé sur des logiciels espions et des services d’exploitation fournis par des vendeurs privés tels que Vervata, Vupen et Core Security… Autre tactique digne d’intérêt : Appin s’est servi d’une plateforme californienne de freelancing appelée Elance (aujourd’hui Upwork) pour acheter des logiciels malveillants à des développeurs de logiciels externes, tout en utilisant ses propres employés pour développer une collection personnalisée d’outils de piratage… « Les résultats de la recherche soulignent la remarquable ténacité du groupe et ses antécédents en matière d’exécution réussie d’attaques pour le compte de diverses clientèles », a déclaré M. Hegel. Ce développement intervient alors qu’Aviram Azari, un enquêteur privé israélien, a été condamné aux États-Unis à près de sept ans de prison fédérale pour intrusion informatique, fraude électronique et vol d’identité aggravé dans le cadre d’un programme mondial de piratage informatique entre novembre 2014 et septembre 2019. « Azari était propriétaire d’une société de renseignement israélienne exploitée », a déclaré le ministère de la Justice (DoJ) la semaine dernière ; « Les clients ont engagé Azari pour gérer des « projets » qui étaient décrits comme des efforts de collecte de renseignements, mais qui étaient en fait des campagnes de piratage illégales. »

Selon un rapport récent d’une société israélienne de cyberespionnage, Aviram Jenik a été lié à « une série de campagnes de piratage sophistiquées ciblant spécifiquement certains groupes de victimes. »

Aviram Jenik a également été lié à une série de campagnes de piratage sophistiquées ciblant spécifiquement certains groupes de victimes.

BellTrox a été fondée par Sumit Gupta en mai 2013.