La technologie

10 groupes de pirates commandités par l'État

10 groupes de pirates commandités par l'État (La technologie)

Les groupes de pirates informatiques constituent la menace qui pèse de plus en plus rapidement sur les nations - non pas tant les «hacktivistes» dont nous entendons parler, mais des groupes extrêmement professionnels travaillant pour des gouvernements dont nous n'entendons pas parler. Les groupes de hackers parrainés par l'État ont la capacité de s'infiltrer dans les réseaux des médias, des grandes entreprises, des départements de la défense et des gouvernements, et de semer le chaos. Même les entreprises de sécurité conçues pour les arrêter peuvent être infiltrées.

La situation est si grave qu'on la décrit comme une autre «guerre froide» et celle-ci est véritablement mondiale et en grande partie invisible. Même les marques d'entreprise sont ciblées par les États à la recherche d'un avantage économique sur les pays concurrents. Étant donné que les pirates informatiques ont une facilité ridicule à se défendre contre les défenses de l'ordinateur, les capacités offensives deviennent plus tentantes, jusqu'à ce que tout le monde s'attaque. Ce n'est qu'une question de temps avant que les cyber-attaques ne soient considérées comme un acte de guerre réelle (une position que les États-Unis adoptent déjà). Des groupes de hackers tels que les «Gardiens de la paix», mal nommés, ont déjà menacé de violents attentats terroristes et restreint la liberté d'expression à Hollywood.

Voici 10 des principaux acteurs de ce nouveau jeu d'espionnage, de sabotage et de guerre au chat et à la souris.

10Armée électronique syrienne (SEA)
Syrie

L'Armée électronique syrienne (SEA) a connu une renommée et une sorte de relation amour-haine avec les médias en 2011-2013. Le groupe est principalement composé d'étudiants universitaires syriens ou de leurs alliés, qui livrent souvent une propagande au président syrien Bashar al-Assad. Parmi les médias les plus médiatisés, citons: New York Times, divers comptes Twitter, et même le Oignon (dont la réplique a été plutôt mémorable), ce qui leur a valu un respect réticent des entreprises de sécurité.

La SEA a également orchestré des attaques réussies contre CNN, Le Washington Post, et Temps en 2013. Enfin, le groupe a déjà convaincu le public qu'une explosion avait eu lieu à la Maison-Blanche, blessant le président Obama. Cela a brièvement bouleversé le marché boursier, amenant l'indice Dow Jones à la baisse de 100%.

On sait également que les pirates informatiques de SEA se sont engagés dans des projets plus sombres, tels que cibler et intimider des personnes avec lesquelles ils ne sont pas d’accord ou qui ne soutiennent pas Assad. S'ils prétendent être de simples patriotes, ils reconnaissent également transmettre des informations pertinentes à l'État, illustrant la ligne trouble entre les hacktivistes et les pirates sponsorisés par l'État. La SEA fonctionne principalement à l'aide de «spear-phishing», une méthode partiellement socialement conçue pour inciter un utilisateur à donner des mots de passe ou d'autres informations sensibles, souvent en le dirigeant vers un faux site Web créé à cet effet.

En novembre 2014, la SEA est revenue et a «piraté» un certain nombre de sites utilisant un réseau de diffusion de contenu, affichant une fenêtre contextuelle indiquant: «Vous avez été piraté par l'Armée électronique syrienne».

9Tarh Andishan
Iran

En 2009, l’Iran s’est retrouvé avec une infrastructure informatique gravement compromise et diminuée après l’attaque au ver Stuxnet, largement médiatisée. L’Iran a réagi en élevant ses capacités de piratage informatique, passant d’une simple dégradation de site Web à une véritable guerre informatique. Ainsi, un groupe de hackers sponsorisé par l’État, surnommé «Tarh Andishan» («penseurs» ou «innovateurs» en farsi), est né.

Le groupe a pris de l'importance avec «Opération Cleaver», une campagne active depuis environ 2012 qui cible au moins 50 organisations dans le monde entier dans les domaines militaire, commercial, éducatif, environnemental, énergétique et aérospatial. De manière effrayante, ils ont également ciblé les grandes compagnies aériennes et, dans certains cas, ont même obtenu un «accès complet» aux portes des compagnies aériennes et aux systèmes de contrôle, «leur permettant potentiellement de fausser leurs identifiants de porte». La firme de cybersécurité Cylance n'a pas encore abouti à une conclusion quant à objectifs à long terme du groupe, a publié un rapport préliminaire sur Tarh Andishan (qui ne représente qu'une fraction des activités du groupe) en raison des craintes selon lesquelles l'opération Cleaver pose déjà un «risque grave pour la sécurité physique du monde».

Le rapport présente des preuves telles que des identifiants de piratage connus, des noms de domaine iraniens, l'hébergement d'infrastructure et d'autres indicateurs. Cylance estime que l'infrastructure à la disposition de Tarh Andishan est trop importante pour être l'œuvre d'un particulier ou d'un petit groupe. Tarh Andishan utilise des techniques avancées allant de l'injection SQL aux exploits avancés en passant par les systèmes de propagation automatisés ressemblant à des vers, les portes dérobées, etc. On pense qu'ils comptent environ 20 membres, principalement de Téhéran, avec des membres auxiliaires au Canada, au Royaume-Uni et aux Pays-Bas. Ses victimes incluent les États-Unis et l'Amérique centrale, des régions d'Europe, la Corée du Sud, le Pakistan, Israël et plusieurs autres régions du Moyen-Orient.


8Dragonfly / Ours Énergétique
L'Europe de l'Est

Un groupe que Symantec appelle «le gang des libellules» et que d’autres sociétés de sécurité ont baptisé «Energetic Bear» opère depuis l’Europe de l’Est et cible principalement les sociétés du secteur de l’énergie depuis environ 2011. Avant cela, il ciblait les secteurs du transport aérien et de la défense, généralement États-Unis et Canada. Symantec affirme que le groupe de hackers "porte les marques d'une opération commanditée par l'État, affichant un degré élevé de capacités techniques". Il a été découvert pour la première fois par la société de sécurité basée en Russie, Kaspersky Labs.

Dragonfly utilise des chevaux de Troie d'accès à distance (RAT) tels que leurs propres outils de malware Backdoor.Oldrea et Trojan.Karagany pour espionner les cibles du secteur de l'énergie, bien que ces méthodes puissent également être utilisées pour le sabotage industriel. Le malware est généralement associé à des courriels de phishing, bien que les pirates informatiques aient récemment adopté une méthode de ciblage «abrupte»: compromettre les sites qu’une cible est connue pour fréquenter.Les cibles sont ensuite envoyées via une série de redirections jusqu'à ce que Oldrea ou Karagany puissent être introduits dans le système de la victime. Au cours des dernières étapes de leur campagne, ils ont même réussi à infecter des logiciels légitimes, qui seraient téléchargés et installés comme d'habitude avec des logiciels malveillants indésirables.

Comme Stuxnet avant lui, la campagne de Dragonfly a été l’un des premiers efforts importants visant à cibler directement les systèmes de contrôle industriels. Contrairement à Stuxnet, qui ne ciblait que le programme nucléaire iranien, la campagne de Dragonfly était généralisée, son objectif principal étant l'espionnage et l'accès à long terme et la capacité de commettre un sabotage grave en tant que capacité optionnelle mais terrifiante.

7Opérations d'accès sur mesure, NSA
Etats-Unis

À la suite de Stuxnet, les États-Unis ne seraient pas laissés pour compte dans le jeu de la cyberguerre et de l'espionnage. Le pays se réserve le droit «d'utiliser tous les moyens nécessaires (diplomatique, informationnel, militaire et économique), selon le cas et conformément au droit international applicable». Le groupe de piratage parrainé par l'État américain est constitué d'opérations d'accès sur mesure (TAO) gérées par la National Security Agency. . C'est le groupe qui a rendu Edward Snowden célèbre après le magazine allemand Der Spiegel divulgué des détails révélant TAO et le fait que la NSA avait collecté des données téléphoniques de milliers d'Américains et de cibles du renseignement à l'étranger.

Depuis au moins 2008, TAO a également été en mesure d'intercepter les envois de PC (où il intercepterait l'ordinateur et y placerait un logiciel d'espionnage), d'exploiter les vulnérabilités matérielles et logicielles et de pirater des sociétés aussi sophistiquées que Microsoft (ce que TAO aurait fait via le dialogue de rapport de crash de Microsoft avec la gamme habituelle de techniques de cyber-guerre ultra-sophistiquées).

L’organisation n’est plus aussi secrète de nos jours, et les employés s’inscrivent même sur LinkedIn, mais cette fois-ci, elle est tout aussi occupée que possible contre les ennemis étrangers. Son siège principal composé de 600 employés est situé dans le principal complexe de la NSA à Fort Mead, dans le Maryland. Pour avoir une idée de leurs opérations actuelles, il suffit de demander à Dean Schyvincht, qui prétend être un opérateur de réseau informatique principal du TAO basé au Texas. Il a déclaré que «plus de 54 000 opérations d'exploitation de réseau mondial (GNE) répondant aux exigences des agences de renseignement nationales» ont été réalisées à partir de 2013 avec un effectif de 14 personnes sous sa direction. Nous ne pouvons qu'imaginer ce que fait Fort Mead.

Équipe de sécurité 6Ajax / chaton volant
Iran

L'Ajax a débuté en 2010 en tant que groupe de "hacktivistes" et de sites Internet iraniens désemparés, mais ils sont passés du militantisme au cyberespionnage et à la sortie des dissidents politiques. Ils nient être parrainés par l'État, mais beaucoup pensent qu'ils ont été embauchés par le gouvernement iranien - un modèle de plus en plus courant dans lequel un groupe attire l'attention d'un gouvernement par le biais de ses activités publiques afin d'obtenir le parrainage de l'État.

Ajax a attiré l'attention de sociétés de sécurité et de groupes comme CrowdStrike lorsqu'une série d'erreurs (dont l'une donnait aux enquêteurs l'adresse de messagerie réelle d'un membre) a révélé des tentatives de cibler l'industrie de la défense américaine et les dissidents iraniens. La société FireEye estime qu'Ajax était responsable de «Operation Saffron Rose», une série d'attaques par hameçonnage et de tentatives d'usurpation d'identité sur des pages Microsoft Outlook Web Access et VPN afin d'obtenir des informations et des informations d'identification au sein du secteur de la défense américain. Le groupe a également exposé les dissidents en les incitant à utiliser des outils anti-censure corrompus.

Des groupes comme celui-ci démontrent une «zone grise croissante entre les capacités de cyber espionnage des groupes de pirates iraniens et toute implication directe du gouvernement iranien ou de l'armée». Cette ligne de démarcation floue entre les groupes et les gouvernements deviendra probablement plus prononcée à l'avenir.


5APT28
Russie

«APT» signifie «menace persistante avancée», une désignation utilisée dans les rapports sur les groupes de pirates informatiques par les entreprises de sécurité. Parfois, quand il y a peu de choses à faire, ces groupes sont nommés d'après ces rapports. Tel est le cas d'un groupe dangereux appelé «APT28» et soupçonné d'opérer hors de Russie. Il s’engage dans le cyberespionnage avancé depuis au moins 2007.

La Russie est considérée comme l'un des chefs de file mondiaux en matière de cyberguerre, mais il est difficile de trouver des preuves concluantes établissant un lien entre l'APT28 et Moscou. Selon le vice-président de FireEye chargé du renseignement sur les menaces, leur rapport indique que les logiciels malveillants et les outils utilisés et créés par APT28 indiquent systématiquement «des locuteurs de langue russe opérant pendant les heures ouvrables conformément au fuseau horaire des grandes villes russes, notamment Moscou et Saint-Pétersbourg. . "

Le groupe a utilisé un éventail de méthodes et d'attaques contre des cibles militaires et politiques aux États-Unis et en Europe de l'Est, notamment des cibles particulièrement utiles pour la Russie, comme la Géorgie. Elle vise même l'OTAN et, dans un autre rapport, un responsable de la Maison Blanche a confirmé que le groupe s'était frayé un chemin dans les réseaux non classés de la Maison Blanche et aurait peut-être ciblé l'Ukraine.

4Unit 61398 / Commentaire Crew / Putter Panda
Chine

https://www.youtube.com/watch?v=YqiaVMCVCSQ

En 2013, Mandiant a publié un rapport affirmant avoir attrapé la Chine avec sa main dans le pot de cookies. Mandiant a conclu qu'un groupe travaillant pour l'unité 61398 de l'élite de l'armée chinoise avait volé des centaines de téraoctets de données auprès d'au moins 141 organisations de pays anglophones. Mandiant a fondé cette allégation sur des preuves telles que des adresses IP de Shanghai, des ordinateurs utilisant des paramètres de langue chinois simplifié et des indications selon lesquelles de nombreuses personnes plutôt que des systèmes automatisés étaient à l'origine des attaques.

La Chine a rejeté ces accusations, affirmant que le rapport "n'est pas basé sur des faits" et "manque de preuves techniques". Brad Glosserman, directeur exécutif du Forum du Pacifique du Centre pour les études stratégiques et internationales a réfuté cette affirmation, soulignant que les preuves ainsi que le type d'informations volées-ne prend pas en charge un rejet. Mandiant savait même d'où provenaient la plupart des attaques: un bâtiment de 12 étages situé juste à l'extérieur de Shanghai, où les pirates informatiques avaient accès à des câbles à fibres optiques de grande puissance.

Une vingtaine de groupes de hackers de haut niveau proviendraient de Chine, et au moins certains d’entre eux se rapporteraient à l’Armée de libération du peuple (armée chinoise). Cela inclut Comment Crew et Putter Panda, un groupe de hackers actif depuis 2007 qui aurait travaillé dans des bâtiments appartenant à l'APL. Ils ont aidé à déclencher un acte d'accusation aux États-Unis contre un groupe de cinq personnes en 2014.

3anxiom
Chine

Une coalition de groupes liés à la sécurité comprenant Bit9, Microsoft, Symantec, ThreatConnect, Volexity et d’autres ont identifié un autre groupe dangereux, qu’ils ont surnommé «Axiom». Ce groupe est spécialisé dans l’espionnage des entreprises et le ciblage des dissidents politiques. été derrière l'attaque de 2010 sur Google. On pense que Axiom vient de Chine, mais personne n’a encore été en mesure de déterminer où le groupe opère en Chine continentale. Un rapport de la coalition a déclaré que les activités d'Axiom se chevauchaient avec "la zone de responsabilité" attribuée aux agences de renseignement du gouvernement chinois, un jugement également soutenu par un flash du FBI rendu à Infragard.

Le rapport décrit ensuite Axiom comme un possible sous-groupe d’un groupe plus important sans nom qui existe depuis plus de six ans et qui cible principalement les industries privées ayant une influence dans la sphère économique. Ils utilisent des techniques allant des attaques de malware génériques aux exploits de piratage sophistiqués qui peuvent prendre des années à se manifester. Les gouvernements occidentaux, les institutions pro-démocrates et les dissidents à l'intérieur et à l'extérieur de la Chine ont également été pris pour cibles. Le porte-parole de l'ambassade de Chine, Geng Shuang, a déclaré que "à en juger par le passé, ce genre de rapports ou d'allégations est généralement fictif" et que le gouvernement de Beijing "a fait tout ce qui était en son pouvoir pour lutter contre de telles activités".

2Bureau 121
Pyongyang, Corée du Nord

À ce jour, la plupart des gens ont entendu parler des attaques perpétrées contre Sony Pictures par des pirates informatiques se dénommant «Guardians of Peace» (GOP). Le groupe a prétendu être contrarié à cause de L'interview-un film à venir qui décrit l'assassinat graphique du leader nord-coréen Kim Jong-un. Guardians of Peace a même menacé d'attaques terroristes du type 11 septembre contre des installations et des cinémas Sony si L'interview a été publié, ainsi que des attaques contre les acteurs et les dirigeants impliqués. Le GOP a écrit: «L'avidité de Sony Pictures Entertainment appelle tout ce qui va arriver dans les prochains jours. Tout le monde va dénoncer le SONY. "

Les liens avec la Corée du Nord ont conduit à des accusations selon lesquelles la nation elle-même serait responsable d'au moins une partie des attaques. Cela a poussé un groupe connu sous le nom de Bureau 121 dans les médias. Le Bureau 121 est un cadre de cyber-guerre composé de pirates informatiques et d’informaticiens nord-coréens. Des malfaiteurs ont affirmé que le groupe appartenait au General Bureau of Reconnaissance, l'agence d'espionnage militaire de la Corée du Nord. Il commet des actes de piratage et de sabotage parrainés par l'État au nom du gouvernement de Pyongyang contre la Corée du Sud et est perçu comme un ennemi comme les États-Unis. En 2013, une attaque contre 30 000 ordinateurs personnels à l'intérieur de banques et de sociétés de radiodiffusion sud-coréennes a été attribuée au groupe. Selon certains, le Bureau 121 comprend quelque 1 800 membres traités comme des élites et bénéficiant de nombreuses incitations telles que des salaires élevés et la possibilité de faire venir leur famille quand ils se voient allouer des espaces de vie à Pyongyang. Le défenseur Jang Se-yul, qui prétend avoir étudié avec le groupe de l'institut militaire supérieur nord-coréen d'informatique (University of Automation), a déclaré à Reuters qu'il existait des divisions à l'étranger du groupe, intégrées à des activités commerciales légitimes.

Mais le gouvernement nord-coréen est-il vraiment derrière les attaques? Un porte-parole a refusé de clarifier la situation, se contentant de dire: «Les forces hostiles rapportent tout à la RPDC (Corée du Nord). Je vous conseille gentiment d'attendre. "La Maison Blanche a déclaré à CNN qu'elle" avait trouvé un lien avec le gouvernement nord-coréen "et" envisageait toute une gamme d'options pour évaluer une réponse potentielle ". Quel que soit le cas, Sony a cédé. dans les menaces. Après que beaucoup de théâtres eurent abandonné l'ouverture du film à Noël, la société le retira indéfiniment - une décision qui paraissait fausse pour la liberté d'expression dans un monde où tout cyber-intimidateur possédant suffisamment de compétences en informatique peut s'en tirer à bon compte. Remarque: Depuis la rédaction de cet article, Sony a sorti le film avec une capacité limitée.

1 Lynx Caché
Chine

“Hidden Lynx” (un nom donné par Symantec) est l'un des groupes actifs les plus récents. Un rapport de 2013 les décrit comme une équipe de hackers extrêmement organisée et expérimentée (environ 50-100 d'entre eux) disposant d'un grand nombre de ressources et de la patience nécessaire pour les utiliser. Ils utilisent régulièrement, voire inventer, les dernières techniques de piratage, y compris leur signature des «points d’arrosage». C’était l’une des méthodes utilisées en 2013 pour infiltrer la société de sécurité basée sur le cloud Bit9 dans le but d’accéder à leur réseau. les clients.

Ces personnes ne se contentent pas d'obtenir des identifiants de jeu, de cibler des utilisateurs d'égal à égal ou de voler une identité (bien qu'elles le fassent également).Ils s'attaquent à certaines des cibles les plus sûres au monde, notamment les industries de la défense, les entreprises de haut niveau et les gouvernements des principaux pays, les attaques visant principalement les États-Unis, la Chine, Taiwan et la Corée du Sud. Ils sont la quintessence du piratage mercenaire à la hollywoodienne.

Tout semble indiquer que la Chine est la principale base d'opérations de Hidden Lynx, mais il n'est pas certain qu'il s'agisse d'une sorte d'entité parrainée par l'État ou d'un puissant groupe de mercenaires. Leurs compétences et techniques avancées, ainsi que le fait que leur infrastructure et leurs serveurs de commande et de contrôle sont tous originaires de Chine, rendent très improbable que le groupe ne soit pas pris en charge.