Cooper Quintin a suit depuis des années les activités d’un groupe de cybermercenaires appelé Dark Caracal. Le 28 juillet 2022, il dit avoir découvert des traces d’une nouvelle campagne de piratage en cours par le groupe en République dominicaine et au Venezuela. Alors qu’il analysait les domaines que les pirates utilisaient comme serveurs de commande et de contrôle, il a fait une découverte surprenante.
« Pendant plus de quatre mois, ils n’avaient pas réalisé qu’ils avaient oublié d’enregistrer l’un des domaines clés répertoriés dans leur malware », Quintinchercheur principal en sécurité au sein du groupe de défense des droits numériques Electronic Frontier Foundation, a déclaré à TechCrunch.
Quintin s’est rapidement rendu compte que s’il pouvait enregistrer le domaine et en prendre le contrôle – un mécanisme appelé gouffre dans le jargon de la cybersécurité – il pourrait obtenir une vue en temps réel des actions des pirates et, plus important encore, de leurs cibles.
Il a dit avoir fait la découverte tard dans la journée, mais il a immédiatement commencé à « harceler » les avocats de l’EFF pour obtenir la permission d’enregistrer le domaine et de le faire disparaître. Le lendemain, Quintin a obtenu le feu vert et s’est efficacement infiltré dans l’opération de piratage de Dark Caracal.
Au moment d’écrire ces lignes, il surveille toujours furtivement les activités des pirates. Et pour autant que Quintin puisse le dire, les pirates n’ont pas encore réalisé cela.
« Je pensais que j’obtiendrais peut-être quelques jours d’informations, voire une semaine ou deux au maximum. Je n’aurais jamais pensé que j’obtiendrais plusieurs mois d’informations », a-t-il déclaré.
Grâce au gouffre, Quintin a découvert que les pirates avaient ciblé plus de 700 ordinateurs depuis mars de l’année dernière, principalement en République dominicaine et au Venezuela.
Le domaine que Quintin a repris n’était pas le principal serveur de commande et de contrôle – c’était l’un des trois – mais il avait toujours un objectif important : télécharger des fonctionnalités supplémentaires pour le malware, appelées Bandook. Cela, cependant, signifiait que Quintin n’avait pas obtenu d’informations granulaires sur les cibles et leurs identités, autres que les adresses IP.
De plus, lorsqu’ils ont décidé de prendre le contrôle du domaine de Dark Caracal, Quintin et ses collègues ont décidé qu’ils ne voulaient pas collecter trop d’informations personnelles.
« Nous voulions nous assurer que nous ne violions pas davantage la vie privée des personnes infectées », a-t-il déclaré.
Avec cet objectif à l’esprit, ils ont pris la décision particulière de mettre une politique de confidentialité sur le site Web du gouffre, qui indique que l’EFF « fera de son mieux pour anonymiser toutes les données collectées par SINKHOLE avant de les publier ou de les partager ou dans un certain délai ». entre autres pratiques destinées à protéger les victimes de la campagne de piratage.
L’EFF suit Dark Caracal depuis 2015. En 2020, Quintin et la directrice de la cybersécurité de l’EFF, Eva Galperin, ont publié un rapport sur une campagne de piratage ciblée sur des cibles libanaises. Les chercheurs de l’EFF ont conclu à l’époque que la campagne de piratage était à la demande du gouvernement libanais, et ils l’ont liée à une campagne de 2016 au Kazakhstan.
Le fait qu’au fil des ans, le groupe ait ciblé différentes victimes dans différents pays a amené les chercheurs de l’EFF à conclure que Dark Caracal n’est pas un groupe de piratage gouvernemental traditionnel, mais plutôt un groupe que les gouvernements et peut-être d’autres organisations embauchent pour pirater qui ils sont intéressés. .
« Nous pensons qu’il s’agit d’un groupe de cybermercenaires, ils semblent avoir travaillé pour plusieurs États-nations, dont le Liban et le Kazakhstan. Et maintenant, il semble qu’ils travaillent en Amérique latine », a déclaré Quintin. (Quintin et ses collègues n’ont pas pu déterminer pour qui Dark Caracal travaille ici.)
Les chercheurs de l’EFF pensent que Dark Caracal est le même groupe derrière une campagne rapportée par la société de cybersécurité ESET en 2021, qui ciblait principalement les ordinateurs au Venezuela. Matias Porolli, chercheur à ESET qui a travaillé sur ce rapport, a déclaré à TechCrunch qu’il avait examiné la campagne en cours lorsque Quintin lui avait demandé de l’aide. Porolli a déclaré qu’il avait conclu que cette campagne récente était menée par le même groupe suivi par ESET en 2021.
Porolli, cependant, a déclaré ne pas disposer de suffisamment de données pour conclure que la campagne 2021 a bien été menée par Dark Caracal. L’un des fils d’Ariane qui pointe vers Dark Caracal est l’utilisation d’un logiciel espion – ou cheval de Troie d’accès à distance, communément appelé RAT – appelé Bandook.
« C’est le même malware, Bandook, mais il pourrait être utilisé par différents groupes », a déclaré Porolli.
Cooper, cependant, a déclaré qu’il pensait que l’utilisation du même malware est un lien suffisamment fort, étant donné que Bandook n’est pas open source, ni ne semble être ouvertement disponible. De plus, les pirates ont lentement amélioré Bandook au fil des ans, ajoutant différentes fonctions au logiciel espion, suggérant qu’ils sont le même groupe améliorant leurs propres outils.
Et leurs outils et techniques s’améliorent lentement.
« Nous n’avons pas exactement affaire aux meilleurs au monde ici. Mais peu importe, ils font toujours le travail. Ils sont clairement capables de mener de grandes campagnes et d’infecter de nombreux ordinateurs », a déclaré Quintin. « Je pense qu’il est important de prêter attention à ces médecins bas de gamme, car ils y consacrent beaucoup de travail. Et je pense qu’ils font autant de travail que les gars plus connus comme NSO Group, et je pense qu’ils sont tout aussi dangereux d’une manière différente.
La balle est maintenant dans le camp de Dark Caracal. Vont-ils comprendre qu’ils ont été infiltrés maintenant que les actions de Quintin sont publiques ?
« Si j’étais eux, je lirais le blog de l’EFF à la recherche de mon nom », a déclaré Quintin en riant.
Avez-vous plus d’informations sur Dark Caracal? Ou avez-vous des informations sur d’autres groupes de piratage de mercenaires ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.