Bahamut, un groupe de cybermercenaires particulièrement sophistiqué

Spread the love
Bahamut, un groupe de cybermercenaires particulièrement sophistiqué

Une vaste opération de cyberespionnage, menée par un groupe de pirates mercenaires, a secrètement ciblé des gouvernements, des entreprises privées et des particuliers pendant des années. D’après les chercheurs de Blackberry, les actions du groupe sont diversifiées, patientes et insaisissables : phishing, ingénierie sociale, applications malveillantes, malwares personnalisés ou encore failles de type “zero-day” font partie de leur modus operandi.

Sous le nom de Bahamut, ce groupe de pirates mercenaires mène des opérations de grande envergure contre des cibles du monde entier, dans le cadre d’attaques en plusieurs volets détaillées par les chercheurs en cybersécurité de BlackBerry. Ces campagnes semblent être menées depuis au moins 2016.

publicité

Des attaques précises et de grande ampleur

« La sophistication et l’ampleur des activités malveillantes que notre équipe a pu lier à Bahamut sont stupéfiantes », note Eric Milam, vice-président des opérations de recherche chez BlackBerry. « Non seulement le groupe est responsable d’une série d’affaires non résolues qui ont tourmenté les chercheurs pendant des années, mais nous avons également découvert que Bahamut est à l’origine d’un certain nombre de campagnes extrêmement ciblées et élaborées de phishing et de vol d’identifiants, de centaines de nouveaux échantillons de malwares Windows, d’utilisation d’exploits de type “zero-day”, de tactiques de contournement des antivirus, et bien d’autres choses encore. »

La capacité de Bahamut à utiliser les failles zero-day, des vulnérabilités logicielles inconnues des éditeurs, le place a égalité avec certains des groupes les plus sophistiqués.

Cependant, les chercheurs de BlackBerry notent que l’utilisation de logiciels malveillants n’est souvent qu’un dernier recours pour Bahamut, car ils peuvent laisser des preuves derrière eux. L’ingénierie sociale et les attaques de phishing sont les moyens privilégiés par le groupe pour pénétrer secrètement le réseau d’une organisation cible, à l’aide d’identifiants volés.

Un réseau de faux sites web plus vrais que nature

Dans certains cas, Bahamut n’hésite pas à observer ses victimes pendant un an ou plus, avant de finalement frapper à ce qui est perçu comme le meilleur moment.

Pour compromettre ses cibles, le groupe utilise tout un réseau de faux sites web, d’applications et même de fausses identités soigneusement élaborées. Adaptés aux victimes potentielles, leur objectif est de mieux cibler les types de liens qui vont les intéresser, afin d’éventuellement servir de base à une attaque par phishing ou malware.

Par exemple, lors d’une de leurs opérations, les membres de Bahamut avaient repris le domaine d’un ancien site web, légitime, sur la technologie et la sécurité de l’information. Ils l’ont ensuite utilisé pour diffuser des articles sur la géopolitique, la recherche et l’actualité industrielle, avec des profils d’auteurs.

Ces sites étaient tellement convaincants que le Centre national irlandais de la cybersécurité a même repris un article issu d’un de ces sites, et l’a présenté comme source légitime dans une de ses alertes, en 2019.

Des applications espionnes

Outre les malwares et l’ingénierie sociale, les membres de Bahamut utilisent également des applications mobiles malveillantes, fonctionnant sur iOS et Android. Elles se présentent avec site web et politique de confidentialité, afin de paraître légitimes aux yeux des utilisateurs et des magasins d’applications.

Chaque application est conçue sur mesure, afin de cibler un groupe particulier d’utilisateurs, dans une langue précise.

Une fois l’application malveillante installée par un utilisateur (la liste complète des malwares est disponible dans le document de BlackBerry), une porte dérobée apparaît sur son appareil, permettant aux attaquants de surveiller l’ensemble de ses activités : lire ses messages, écouter ses appels, surveiller sa localisation, ou encore toute autre activité d’espionnage.

Old habits die hard

Mais, d’après les chercheurs, si les applications sont bien conçues, l’analyse de leur configuration permet malgré tout de remonter jusqu’à Bahamut. Les auteurs des applications ont commis des erreurs, et ce malgré leur haut niveau de compétence.

« Même si le groupe s’est distingué en employant une sécurité opérationnelle supérieure à la moyenne et des capacités techniques extrêmement qualifiées, les opérateurs de Bahamut sont, en fin de compte, toujours humains. Si leurs erreurs ont été peu nombreuses, elles se sont également révélées dévastatrices. BlackBerry constate que l’expression “les vieilles habitudes ont la vie dure” s’applique même aux groupes malveillants les plus avancés », souligne le rapport.

Bahamut semble être toujours actif. La nature mercenaire du groupe indique que toute organisation ou individu haut placé peut potentiellement être une cible. BlackBerry affirme cependant avoir alerté le plus grand nombre possible de cibles potentielles, des individus aux organisations gouvernementales, en passant par les entreprises.

Source : ZDNet.com

Leave a Reply