Pendant des années, le russe Les pirates du gouvernement ont utilisé plusieurs personnages inventés pour cacher leurs traces et essayer de tromper les chercheurs en sécurité et les agences gouvernementales pour qu’ils pointent le blâme dans la mauvaise direction.
Ils ont fait semblant d’être un hacktiviste roumain solitaire appelé Guccifer 2.0 lorsqu’ils ont piraté le Comité national démocrate ; a déclenché un malware destructeur conçu pour ressembler à un ransomware banal ; caché dans les serveurs utilisés par un groupe de piratage iranien ; prétendait être un groupe de piratage islamiste appelé Cyber Califate ; piraté les Jeux olympiques d’hiver de 2018 en laissant des miettes de pain pointant vers la Corée du Nord et la Chine ; et a glissé de fausses preuves dans des documents publiés dans le cadre d’une opération de piratage et de fuite prétendument menée par un groupe hacktiviste appelé Cyber Berkut.
Maintenant, des chercheurs en sécurité affirment avoir trouvé un nouveau faux drapeau du gouvernement russe.
Selon les chercheurs en sécurité de BlackBerry, le groupe de cybercriminalité connu sous le nom de Cuba Ransomware, qui était auparavant lié à une souche de logiciels malveillants connue sous le nom de RomCom RAT, n’est pas du tout un groupe de cybercriminalité. Il s’agit en fait d’un groupe travaillant pour le gouvernement russe ciblant les unités militaires ukrainiennes et les gouvernements locaux, ont déclaré les chercheurs.
« C’est une attribution trompeuse », a déclaré Dmitry Bestuzhev, directeur principal de l’équipe Cyberthreat Intelligence de BlackBerry, faisant référence aux liens entre RomCom RAT et Cuba. « On dirait que c’est juste une autre unité travaillant pour le gouvernement russe », a-t-il déclaré.
L’ambassade de Russie à Washington, DC n’a pas répondu à une demande de commentaire.
RomCom RAT est un cheval de Troie d’accès à distance découvert pour la première fois par Unit 42, le groupe de recherche sur la sécurité de Palo Alto Networks, en mai 2022. Les chercheurs en sécurité de l’entreprise ont lié le malware au gang Cuba, qui a utilisé un ransomware contre des cibles dans les secteurs des « services financiers ». , les installations gouvernementales, les soins de santé et la santé publique, la fabrication critique et les technologies de l’information », selon l’agence américaine de cybersécurité CISA.
Le nom vient du groupe lui-même, qui a utilisé des illustrations de Fidel Castro et Che Guevara sur son site Web sombre, bien qu’aucun chercheur n’ait jamais trouvé de preuve que le groupe ait quoi que ce soit à voir avec la nation insulaire.
RomCom RAT aurait utilisé de fausses versions d’applications populaires pour cibler ses victimes, telles que le gestionnaire de mots de passe KeePass, l’outil d’administration informatique SolarWinds, Advanced IP Scanner et Adobe Acrobat Reader. Au cours des derniers mois, selon Bestuzhev et ses collègues, RomCom RAT a également ciblé des unités militaires ukrainiennes, des agences gouvernementales locales et le parlement ukrainien.
Bestuzhev a expliqué que leur conclusion n’est pas seulement basée sur les cibles, mais aussi sur le moment des opérations des pirates.
Son équipe a suivi le groupe pendant un an et a suivi sa trace sur Internet. Dans le cadre de leur enquête, les chercheurs ont observé que les pirates utilisaient différents certificats numériques pour enregistrer les faux domaines qu’ils utilisaient pour implanter des logiciels malveillants sur leurs cibles.
Dans un cas, les chercheurs ont vu les pirates créer un certificat numérique présentant l’Autriche pour signer un site Web piégé le 23 mars, une semaine avant que le président ukrainien Volodymyr Zelenskyy ne s’adresse au parlement autrichien par appel vidéo.
Le même schéma s’est produit d’autres fois. Lorsque les pirates du RomCom RAT ont imité un site Web SolarWinds en novembre 2022, c’était à peu près au moment où les forces ukrainiennes sont entrées dans la ville assiégée de Kherson. Lorsque les pirates ont imité Advanced IP Scanner en juillet 2022, c’était juste au moment où l’Ukraine commençait à déployer des fusées HIMARS fournies par le gouvernement américain. Et puis, en mars 2023, les pirates ont imité Remote Desktop Manager à l’époque où les pilotes ukrainiens s’entraînaient pour piloter des avions de combat F-16, et la Pologne et la Slovaquie ont décidé de fournir à l’Ukraine une technologie militaire.
« Ainsi, chaque fois qu’un événement majeur se produisait, comme quelque chose d’important en géopolitique, et en particulier dans le domaine militaire, RomCom RAT était juste là, juste là », a déclaré Bestuzhev.
Cependant, d’autres chercheurs en sécurité, ainsi que le gouvernement ukrainien lui-même, ne sont toujours pas entièrement convaincus que RomCom RAT et Cuba Ransomware sont en fait des pirates du gouvernement russe.
Doel Santos, chercheur principal à l’unité 42 de Palo Alto Networks, a déclaré que le groupe derrière le malware RomCom RAT est « plus sophistiqué que les groupes de ransomwares traditionnels », pour son utilisation d’outils personnalisés.
« L’unité 42 a vu l’activité ciblant l’Ukraine. Il y a un angle d’espionnage avec cela et à cause de cela, ils pourraient recevoir des instructions d’un État-nation », a déclaré Santos à TechCrunch. « Cependant, nous ne connaissons pas l’étendue de cette relation. Cela sort des activités normales d’un groupe de rançongiciels.
Pourtant, a ajouté Santos, « certains groupes travaillent au clair de lune pour obtenir du travail supplémentaire – c’est peut-être ce que nous voyons dans ce cas ».
Bestuzhev a déclaré que lui et son équipe avaient envisagé cette possibilité mais l’avaient exclue en raison de la persistance des pirates, du moment et des cibles des attaques, ce qui indique que leur véritable objectif est l’espionnage et non le crime.
Un porte-parole du Service national des communications spéciales d’Ukraine, ou SSSCIP, a déclaré que l’une des opérations de RomCom RAT en Ukraine ciblait les utilisateurs d’un logiciel spécifique de connaissance de la situation appelé DELTA, et « selon la cible et le logiciel malveillant utilisé, on peut supposer que le l’objectif était de recueillir des renseignements auprès de l’armée ukrainienne.
« Mais il n’y a pas suffisamment de preuves pour le relier à la Russie (sauf le fait que la Russie est le gouvernement le plus intéressé par ce type d’informations) », a ajouté un porte-parole du SSSCIP.
Mark Karayan, porte-parole des équipes de renseignement sur les menaces de Google, qui ont suivi le groupe de piratage, a déclaré que « notre équipe ne peut pas confirmer ou infirmer ces découvertes en toute confiance sans voir [BlackBerry’s] recherche complète.
Bestuzhev a déclaré que son groupe ne prévoyait pas de publier tous les détails techniques de leurs découvertes, dans le but de ne pas montrer leur main aux pirates RomCom RAT et de les empêcher de changer leurs stratégies et techniques. De cette façon, a expliqué Bestuzhev, ils peuvent continuer à suivre les pirates et voir ce qu’ils font ensuite.
Le jury ne sait toujours pas qui est vraiment derrière RomCom RAT et Cuba Ransomware, mais Bestuzhev et des chercheurs d’autres sociétés continueront de garder un œil sur le groupe.
« Ces gars, disons, ils savent que nous savons. Nous nous aimons. Et donc c’est comme une relation à long terme », a déclaré Bestuzhev en riant.
Avez-vous plus d’informations sur ce groupe de piratage ? Ou d’autres groupes de piratage impliqués dans la guerre en Ukraine ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.