Un groupe de cybermercenaires sème le chaos sur la toile

Void Balaur, un groupe de cybermercenaires actif depuis 2015, est l’un des collectifs de hackers les plus actifs et prolifiques au monde.

Lors de la conférence Black Hat Europe 2021, un fournisseur de sécurité a révélé un piratage informatique de grande ampleur. Parmi les victimes, des hommes politiques, des médecins, des dissidents, des militants des droits de l’homme et des journalistes.

La créature “Void Balaur”

Les chercheurs de Trend Micro ont suivi les activités de ce groupe de cybermercenaires russes. Ils l’ont appelé “Void Balaur”, en référence à une créature légendaire à plusieurs têtes du folklore d’Europe de l’Est. Par “cybermercenaire” il faut comprendre un groupe d’individus qui propose à ses clients, tels que des gouvernements, des organisations criminelles et même des entreprises, différents types de produits et de services basés sur le Web, moyennant un certain prix. “En théorie, les cybermercenaires peuvent être utilisés à des fins non malveillantes, par exemple pour aider les gouvernements à lutter contre le terrorisme et le crime organisé. Mais en réalité, leurs services finissent par être utilisés dans des attaques visant les adversaires de leurs clients”, explique Trend Micro.

Dans le rapport présenté à la conférence Black Hat Europe 2021, les chercheurs ont décrit le groupe Void Balaur comme étant actif probablement depuis septembre 2015.

Espionnage et vente de données personnelles

Les services de Void Balaur consistent à s’introduire dans des comptes de messagerie de personnes ciblées et à y voler des données personnelles sensibles. Passeports, SMS, enregistrements d’appels téléphoniques, informations sur l’appelant et sa localisation, billets achetés pour des voyages transfrontaliers en avion et en train, enregistrements d’Interpol, rapports de crédit… Les cybermercenaires vendent ensuite ces informations à prix fort.

Les recherches de Trend Micro montrent que sur une période de dix-huit mois, Void Balaur a volé les données de plus de 3 500 cibles. Certaines victimes auraient même quitté leur pays et se seraient exilées. Les chercheurs ont d’ailleurs déclaré avoir établi un lien entre ces piratages et des attaques en Ouzbékistan. Les mêmes dont Amnesty International avait signalé l’an dernier qu’elles avaient eu un impact important sur la vie de certaines personnes dans ce pays.

Le profil des victimes

Les rapports de Trend Micro, d’eQualit.ie et d’Amnesty International mentionnent des attaques contre des militants des droits de l’homme, des journalistes, des médias et des sites Web couvrant l’actualité politique.

D’après les chercheurs, Void Balaur n’hésiterait pas non plus à s’en prendre à des cibles plus médiatiques. Le groupe a, en effet, attaqué l’ancien directeur d’une agence de renseignement, des ministres en exercice, des membres du parlement national d’un pays d’Europe de l’Est et même des candidats à la présidence. Plus récemment, Void Balaur a attaqué des personnalités politiques au Kazakhstan, en Ukraine, en Slovaquie, en Russie, en Norvège, en Arménie, en Italie et en France, indique le rapport.

Techniques et clients mystères

Trend Micro n’a pas été en mesure d’identifier les clients du groupe de menaces. De même, les techniques et procédures du groupe ne sont pas claires. Phishing, piratages de comptes du personnel des forces de l’ordre, copies de boîtes mails, détournement d’employés clés de fournisseurs de messagerie… Pour le moment, les chercheurs ne sont pas parvenus à identifier de quelle façon les membres de Void Balaur ont réussi à accéder à certaines des données mises en vente au cours des dernières années.

D’après le rapport d’Amnesty International, Void Balaur aurait utilisé des logiciels malveillants. Z*Stealer est l’un d’eux. Il est conçu pour recueillir des informations d’identification à partir de différents types de logiciels tels que des applications de messagerie instantanée, des clients de messagerie, des navigateurs et des programmes de protocole de bureau à distance (RDP). Le groupe utilise aussi DroidWatcher, un autre malware également destiné au vol d’informations. Mais celui-ci propose des capacités d’espionnage et de suivi à distance. Un moyen pour ses utilisateurs d’accéder à des informations sensibles de localisation et de communication.

“Il est possible qu’il ne s’agisse pas d’attaques ponctuelles, mais d’une campagne plus vaste, menée sur plusieurs fronts. En outre, bien qu’apparemment motivées par des raisons financières, de nombreuses campagnes des acteurs de la menace pourraient être motivées par le désir de provoquer des perturbations et des conflits parmi leurs victimes”, conclut le rapport.