Un groupe de pirate APT identifié par la firme Russe Kasperky
La société de sécurité informatique Kaspersky Russe a annoncé avoir démasqué un groupe de pirate de type APT.
Ce groupe de pirate serait impliqué dans une affaire de fuite de données mettant à nu Shadow Brokers, qui a eu lieu en 2017. Il s’avère que c’est un groupe de pirate qui était observé depuis très longtemps par l’agence de l’aérospatiale américain la NSA.
Cet article va aussi vous intéresser : Une faille dans le logiciel Kaspersky qui permet aux sites Internet de collecter des données personnelles sur les utilisateurs
Les faits se passe exactement en 2017. Un groupe de hackers spécialisé ayant pour la dénomination de Shadow Brokersen est l’acteur principal. Ce groupe avait publié des informations secrètes provenant de la NSA, (National Security Agency) sur Internet permettant ainsi à un grand nombre de personnes d’y avoir accès. Ces informations qui ont été publiées, étaient composées d’un ensemble d’exploits et de plusieurs outils servant au piratage informatique dont l’un des plus célèbres connu sous la dénomination de « EternalBlue. », un code malveillant qui avait été utilisé dans la conception du programme de rançonage WannaCry et deux autres logiciels malveillants tristement célèbre NotPetya et Bad Rabbit en 2017.
Par ailleurs parmi les données publiées, il y a pas particulièrement un fichier qui a attiré l’attention. Il est nommé « sigs.py », qui se présente comme étant une mine d’or en matière d’informations et des renseignements sur des transmissions. C’est un programme qui a une fonctionnalité qui ressemble à celui d’un scanner de programmes malveillants. on sait que l’agence américaine de renseignements l’utilisait dans le but d’analyser les terminaux infectés par eux même, pour voir si ces machines étaient déjà touchées par des programmes produits par des groupes de pirates informatiques tel les APT « Advanced Persistent Threat ou menaces persistantes avancées.», des groupes de pirates informatiques que l’on a tendance à affilier à des États.
Le script sigs.py se construisait dans l’inclusion de certaines signatures, qui étaient totalement inconnues du monde de la sécurité informatique jusqu’en 2017, ce qui a démontré clairement que l’agence américaine avait de l’avance en matière de protection de système de sécurité informatique sur les sociétés de cybersécurité privée. ce qui est d’ailleurs choquant quand on sait que la NSA pouvait depuis très longtemps détecter et même observer les opérations menées par différents groupes de pirates informatiques, surtout ceux qui présentent des intérêts hostiles.
Toutefois dans un rapport qui a été publié le mois dernier, l’unité d’élite, dédiée à la chasse de pirate Informatique, de l’Agence de sécurité privée Kaspersky, GReAT, avait annoncé être sur les traces du groupe de pirate mystérieux, c’est-à-dire le groupe de pirates qui était traqué par le script de la NSA. Pour les chercheurs de Kaspersky, le script numéro 27 a permis d’identifier des fichiers qui font partie intégrante d’une organisation qu’on appelle le « DarkUniverse », qui se composent de framework de logiciels malveillants et aussi des noms permettant d’identifier le groupe de pirates ainsi que leurs activités.
À noter que ce groupe de pirate a été actif dans les environs de 2009 jusqu’à 2017, et on toujours su faire profil bas pour éviter d’attirer le maximum d’attention sur eux, surtout après la fuite de données « Shadowbrokers : « La suspension de ses opérations pourrait être liée à la publication de la fuite » Lost in Translation « , ou bien les attaquants pourraient simplement avoir décidé de passer à des approches plus modernes et de commencer à utiliser des outils plus largement disponibles pour leurs opérations » a souligné l’équipe GReAT dans un article qui détaillait le framework du malware DarkUniverse.
Accédez maintenant à un nombre illimité de mot de passe :