Un groupe de pirates informatiques francophones connu sous le nom d' »OPERA1ER » a t li une srie de plus de 35 cyberattaques russies visant des banques, des services financiers et des oprateurs tlcoms en Afrique, en Asie et en Amrique latine entre 2018 et 2022. Un rapport de la situation allgue que les attaques ont entran des vols d’un montant total de 11 millions de dollars, les dommages rels tant estims plus de 30 millions de dollars. Certaines des victimes identifies auraient mme t compromises deux fois, et leur infrastructure aurait ensuite t militarise pour frapper d’autres organisations.
Le dpartement CERT-CC d’Orange et des chercheurs en cyberscurits de Group-IB, dont le sige est Singapour, ont rapport jeudi qu’un groupe de cybercriminels francophones, avec le nom de code OPERA1ER, a svi pendant plus de quatre ans dans plusieurs rgions du monde, drobant plus de 30 millions de dollars. Le groupe aurait perptr plus de 35 « cybercambriolages » sur cette priode contre des socits de tlcommunications et des banques en Afrique, en Asie et en Amrique latine. Les attaques les plus rcentes, survenues en 2021, auraient cibl cinq banques diffrentes au Burkina Faso, au Bnin, en Cte d’Ivoire et au Sngal.
Les chercheurs suivent OPERA1ER depuis 2019, mais ont remarqu que le groupe a chang ses techniques, tactiques et procdures (TTP) l’anne dernire. Inquite de perdre les traces de l’acteur de la menace, l’entreprise de cyberscurit a attendu que le groupe refasse surface pour publier un rapport actualis. Cette anne, Group-IB a observ que les pirates taient nouveau actifs. OPERA1ER s’appuierait sur des outils open source, des logiciels malveillants de base et des frameworks comme Metasploit et Cobalt Strike pour compromettre les serveurs des entreprises. En outre, les chercheurs pensent que le groupe opre depuis l’Afrique.
Le rapport indique que les vols commencent par des courriels cibls qui incitent le personnel de ces entreprises excuter des logiciels malveillants porte drobe, des enregistreurs de frappe et des voleurs de mots de passe. Les escrocs utiliseraient les informations d’identification voles par ces logiciels malveillants pour obtenir des informations d’identification des administrateurs pour les contrleurs de domaine Windows sur le rseau et les applications dorsales des banques, notamment leurs clients de messagerie SWIFT, que les institutions financires utilisent pour envoyer et recevoir les dtails des transactions les unes des autres.
Aprs l’intrusion initiale, les oprateurs furtifs utiliseraient des outils tels que Cobalt Strike et Metasploit pour maintenir la persistance et rester sur le rseau pendant trois douze mois, dplaant sournoisement l’argent des personnes entre les comptes avant de retirer ventuellement les fonds des distributeurs automatiques. Le rapport note, par exemple, que lors d’un vol, « un rseau de plus de 400 comptes d’abonns a t utilis pour encaisser rapidement les fonds vols, le plus souvent pendant la nuit, via des distributeurs automatiques ». Les analystes de Group-IB ont dclar que tout laisse penser que l’attaque a t planifie de longue date.
Le rapport ajoute qu’ils encaissent l’argent vol un jour fri ou pendant le week-end afin de minimiser les chances que les organisations compromises ragissent temps la situation. Il tait vident que l’attaque tait trs sophistique, organise, coordonne et planifie sur une longue priode de temps , ont-ils dclar. Group-IB note en outre que l’acteur de la menace cre des e-mails de harponnage de « haute qualit » rdigs en franais. La plupart du temps, les messages se font passer pour le bureau des impts du gouvernement ou pour un agent recruteur de la Banque centrale des tats de l’Afrique de l’Ouest (BCEAO).
Les chercheurs estiment que le gang a galement frapp des organisations en Argentine, au Paraguay et au Bangladesh. Les chercheurs prcisent que le gang n’a pas dploy de logiciels malveillants sur mesure, et a plutt utilis du code open source ainsi que des outils qu’il pouvait trouver gratuitement sur le dark Web. Dans le rapport, les chercheurs expliquent : avec la bote outils de base « sur tagre », il est confirm qu’OPERA1ER a vol au moins 11 millions de dollars depuis 2019. Mais le montant rel serait suprieur 30 millions de dollars, car certaines des entreprises compromises n’ont pas confirm le fait de la perte d’argent .
Par ailleurs, de nombreuses entreprises victimes auraient t attaques deux fois, et les escrocs auraient utilis l’infrastructure de ces entreprises pour attaquer d’autres organisations. Les criminels auraient galement utilis des VPN pour couvrir leurs traces. De plus, alors que le domaine le plus ancien enregistr et utilis par le groupe pour ses activits a t cr en 2016, le rapport retrace leurs activits de 2018 2022. En somme, les victimes identifies au cours de cette priode couvrent au moins 15 pays : Cte d’Ivoire, Mali, Burkina Faso, Bnin, Cameroun, Bangladesh, Gabon, Niger, Nigeria, Paraguay, Sngal, Sierra Leone, Ouganda, Togo et Argentine.
D’autres chercheurs en scurit affirment avoir suivi certaines des campagnes du gang au fil des ans, notamment Tom Ueltschi, qui a nomm les mcrants DESKTOP-Group. Group-IB a galement indiqu que SWIFT suit le gang sous le nom de Common Raven. Pour obtenir la liste complte des indicateurs de compromission (IoC) et les dtails techniques des attaques attribues OPERA1ER, Group-IB a publi un rapport technique de 75 pages.
Sources : Group-IB, Le rapport des chercheurs
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi