Depuis au moins une décennie, un groupe de pirates clandestins cible des personnes dans toute l’Inde, utilisant parfois ses pouvoirs numériques pour planter des preuves fabriquées d’activités criminelles sur leurs appareils. Ces fausses preuves ont, à leur tour, souvent servi de prétexte à l’arrestation des victimes.
UNE rapport publié cette semaine par la société de cybersécurité Sentinel One révèle des détails supplémentaires sur le groupe, éclairant la manière dont ses sales tours numériques ont été utilisés pour surveiller et cibler «les militants des droits de l’homme, les défenseurs des droits de l’homme, les universitaires et les avocats» dans toute l’Inde.
Le groupe, que les chercheurs ont surnommé « ModifiedElephant », est largement préoccupé par l’espionnage, mais il intervient parfois pour apparemment encadrer ses cibles pour des crimes. Les chercheurs écrivent :
L’objectif de ModifiedElephant est une surveillance à long terme qui se termine parfois par la remise de « preuves » – des fichiers qui incriminent la cible dans des crimes spécifiques – avant des arrestations convenablement coordonnées.
L’affaire la plus importante impliquant Elephant concerne l’activiste maoïste Rona Wilson et un groupe de ses associés qui, en 2018, ont été arrêtés par les services de sécurité indiens et accusés d’avoir comploté pour renverser le gouvernement. Des preuves du complot supposé, y compris un document Word détaillant les plans d’assassinat du Premier ministre du pays, Narendra Modi, ont été trouvées sur l’ordinateur portable de Wilson. Cependant, une analyse médico-légale ultérieure de l’appareil a montré que les documents étaient en fait faux et avaient été planté à l’aide de logiciels malveillants. Selon les chercheurs de Sentinel, c’est Elephant qui les a mis là.
Cette affaire, qui a gagné en visibilité après être couvert par le Washington Post, a été ouverte après que l’ordinateur portable susmentionné a été analysé par une société de criminalistique numérique, basée à Boston Arsenal Consulting. Arsenal a finalement conclu que Wilson et tous ses soi-disant co-conspirateurs, ainsi que de nombreux autres militants, avaient été la cible de manipulations numériques. Dans un rapport, la société a expliqué l’ampleur de l’intrusion :
Arsenal a connecté le même attaquant à une importante infrastructure de logiciels malveillants qui a été déployée au cours d’environ quatre ans pour non seulement attaquer et compromettre l’ordinateur de M. Wilson pendant 22 mois, mais aussi pour attaquer ses coaccusés dans l’affaire Bhima Koregaon et les accusés. dans d’autres affaires indiennes très médiatisées également.
Comment les pirates ont-ils mis les documents sur l’ordinateur en premier lieu ?
Selon Sentinelle One rapport, Elephant utilise des outils et des techniques de piratage courants pour prendre pied dans les ordinateurs des victimes. Les e-mails de phishing, généralement adaptés aux intérêts de la victime, sont chargés de documents malveillants contenant des outils d’accès à distance (RAT) disponibles dans le commerce, des programmes faciles à utiliser disponibles sur le dark web qui peuvent pirater des ordinateurs. Plus précisément, il a été démontré qu’Elephant utilise DarkComet et Netwire, deux marques bien connues. Une fois qu’une victime est hameçonnée avec succès et que le logiciel malveillant des pirates est téléchargé, le RAT permet à Elephant un contrôle complet sur l’appareil de la victime ; ils peuvent tranquillement mener une surveillance ou, comme dans le cas de Wilson, déployer de faux documents incriminants, écrivent les chercheurs.
Tout cela est assez néfaste. Comme pour tout dans le monde des hackers, il est difficile de savoir avec certitude qui est réellement « Elephant ». Cependant, des preuves contextuelles évidentes suggèrent que le groupe a à l’esprit les « intérêts » du gouvernement indien, écrivent les chercheurs :
Nous observons que l’activité de ModifiedElephant s’aligne fortement sur les intérêts de l’État indien et qu’il existe une corrélation observable entre les attaques de ModifiedElephant et les arrestations d’individus dans des affaires controversées et politiquement chargées.
Malheureusement, ModifiedElephant n’est pas le seul groupe à faire ce genre de choses. On pense qu’un groupe entièrement différent a mené opérations similaires contre Baris Pehlivan, un journaliste en Turquie qui a été incarcéré pendant 19 mois en 2016 après que le gouvernement turc l’a accusé de terrorisme. La criminalistique numérique a révélé plus tard que les documents utilisés pour justifier les accusations de Pehlivan a été planté, much comme ceux sur l’ordinateur portable de Wilson.
Bref, c’est assez dérangeant. « De nombreuses questions subsistent sur cet acteur menaçant et ses opérations », écrivent les chercheurs de Sentinel One à propos d’Elephant. « Cependant, une chose est claire : les détracteurs des gouvernements autoritaires du monde entier doivent soigneusement comprendre les capacités techniques de ceux qui chercheraient à les faire taire. »