Les chercheurs en sécurité disent avoir récemment observé une équipe de piratage russe, qui était à l’origine des cyberattaques destructrices du malware WhisperGate, ciblant des entités ukrainiennes avec un nouveau malware voleur d’informations.
L’équipe Threat Hunter de Symantec a attribué cette campagne à un acteur de la cyber-menace lié à la Russie, largement connu sous le nom de TA471 (ou UAC-0056), qui est actif depuis début 2021. Le groupe est connu pour soutenir les intérêts du gouvernement russe, et bien qu’il cible principalement l’Ukraine, le groupe a également été actif contre les États membres de l’OTAN en Amérique du Nord et en Europe. TA471 a été lié à WhisperGateun malware destructeur d’effacement de données qui a été utilisé dans plusieurs cyberattaques contre des cibles ukrainiennes en janvier 2022. Le malware se fait passer pour un ransomware, mais rend les appareils ciblés complètement inutilisables et incapables de récupérer des fichiers même si une demande de rançon est payée.
Selon Symantec, la dernière campagne de l’équipe de piratage s’appuie sur un logiciel malveillant voleur d’informations inédit qu’il appelle “Graphiron” pour cibler les organisations ukrainiennes. Le malware a été utilisé pour voler des données sur des machines infectées d’octobre 2022 jusqu’à au moins mi-janvier 2023, selon les chercheurs, il est raisonnable de supposer qu’il fait toujours partie du [hackers’] boîte à outils.
Le logiciel malveillant de vol d’informations utilise des noms de fichiers conçus pour se faire passer pour des fichiers Microsoft Office légitimes et est similaire à d’autres outils TA471, tels que GraphSteel et GrimPlant, qui étaient auparavant utilisées dans le cadre d’une campagne de harponnage ciblant spécifiquement les organes de l’État ukrainien. Mais Symantec affirme que Graphiron est conçu pour exfiltrer beaucoup plus de données, y compris des captures d’écran et des clés SSH privées.
“Ces informations pourraient être utiles en elles-mêmes du point de vue du renseignement, ou elles pourraient être utilisées pour pénétrer plus profondément dans l’organisation ciblée ou pour lancer des attaques destructrices”, a déclaré à TechCrunch Dick O’Brien, analyste principal du renseignement Symantec Threat Hunter Team.
O’Brien a déclaré que bien que l’on sache peu de choses sur l’origine ou la stratégie de l’équipe de piratage, TA471 est devenu l’un des acteurs clés des cybercampagnes en cours de la Russie contre l’Ukraine.
La nouvelle de la dernière campagne d’espionnage de TA471 survient quelques jours après le gouvernement ukrainien sonné l’alarme sur un autre groupe de piratage parrainé par l’État russe, surnommé UAC-0010, qui continue de mener de fréquentes campagnes de cyberattaques contre des organisations ukrainiennes.
“Malgré l’utilisation d’ensembles de techniques et de procédures principalement répétés, les adversaires évoluent lentement mais avec insistance dans leurs tactiques et redéveloppent des variantes de logiciels malveillants utilisés pour ne pas être détectés”, a déclaré le State Cyber Protection Center d’Ukraine. “Par conséquent, il reste l’une des principales cybermenaces auxquelles sont confrontées les organisations dans notre pays.”