Entreprise de sécurité russe Kaspersky a publié aujourd’hui de nouvelles recherches qui ajoutent une autre pièce au puzzle d’un groupe de pirates dont les opérations semblent s’étendre plus loin que les chercheurs ne le pensaient auparavant.
Une étude publiée la semaine dernière par la société de sécurité Malwarebytes a jeté un nouvel éclairage sur un groupe de piratage, Red Stinger, qui a mené des opérations d’espionnage contre des victimes pro-ukrainiennes dans le centre de l’Ukraine et des victimes pro-russes dans l’est de l’Ukraine. Les résultats étaient intrigants en raison du mélange idéologique des cibles et du manque de liens avec d’autres groupes de piratage connus. Quelques semaines avant la publication de son rapport par Malwarebytes, Kaspersky avait également publié des recherches sur le groupe, qu’il appelle Bad Magic, et avait également conclu que le logiciel malveillant utilisé dans les attaques n’avait aucun lien avec d’autres outils de piratage connus. La recherche que Kaspersky a publiée aujourd’hui établit enfin un lien entre le groupe et ses activités passées et fournit un contexte préliminaire pour comprendre les motivations possibles des attaquants.
En ajoutant la recherche Malwarebytes à ce qu’ils avaient trouvé indépendamment, les chercheurs de Kaspersky ont examiné les données de télémétrie historiques pour rechercher des connexions. Finalement, ils ont découvert que certaines des infrastructures cloud et des logiciels malveillants que le groupe utilisait présentaient des similitudes avec les campagnes d’espionnage en Ukraine identifiées par la société de sécurité ESET en 2016, ainsi qu’avec les campagnes découvertes par la société CyberX en 2017.
“Malwarebytes en a découvert plus sur l’étape initiale de l’infection, puis sur le programme d’installation” utilisé dans certaines des attaques du groupe depuis 2020, explique Georgy Kucherin, chercheur sur les logiciels malveillants chez Kaspersky. “Après avoir publié notre rapport sur le logiciel malveillant, nous avons décidé d’afficher des données historiques sur des campagnes similaires ayant des cibles similaires et qui se sont produites dans le passé. C’est ainsi que nous avons découvert les deux campagnes similaires d’ESET et de CyberX, et nous avons conclu avec une confiance moyenne à élevée que les campagnes sont liées et qu’elles sont toutes susceptibles d’être exécutées par le même acteur.
L’activité différente au fil du temps a une victimologie similaire, ce qui signifie que le groupe s’est concentré sur les mêmes types de cibles, y compris à la fois des fonctionnaires travaillant pour des factions pro-russes en Ukraine et des fonctionnaires, des politiciens et des institutions du gouvernement ukrainien. Kucherin note également que lui et ses collègues ont trouvé des similitudes et de multiples chevauchements dans le code des plugins utilisés par les logiciels malveillants du groupe. Certains codes semblaient même être copiés et collés d’une campagne à l’autre. Et les chercheurs ont constaté une utilisation similaire du stockage en nuage et des formats de fichiers caractéristiques sur les fichiers que le groupe a exportés vers leurs serveurs.
La recherche Malwarebytes publiée la semaine dernière a documenté cinq campagnes depuis 2020 par le groupe de piratage, dont une ciblant un membre de l’armée ukrainienne qui travaille sur des infrastructures critiques ukrainiennes. Une autre campagne a ciblé des responsables électoraux pro-russes dans l’est de l’Ukraine, un conseiller de la Commission électorale centrale de Russie et un autre qui travaille sur les transports dans la région.
En 2016, ESET écrivait à propos de l’activité qu’il appelait “Operation Groundbait”: “Le principal point qui distingue l’opération Groundbait des autres attaques est qu’elle a principalement ciblé les séparatistes anti-gouvernementaux dans les républiques populaires autoproclamées de Donetsk et Lougansk. . Alors que les assaillants semblent être plus intéressés par les séparatistes et les gouvernements autoproclamés dans les zones de guerre de l’est de l’Ukraine, il y a également eu un grand nombre d’autres cibles, y compris, entre autres, des représentants du gouvernement ukrainien, des politiciens et des journalistes.