Le groupe de pirates SandCat, qui serait lié aux services de renseignement en Ouzbékistan, a été repéré par l’entreprise de sécurité informatique russe Kaspersky.
Repéré par Mathilda Hautbois sur Vice
09/10/2019 à 11h02
Les spécialistes en sécurité informatique de Kaspersky ont récemment découvert un groupe de hackers, nommé SandCat par leurs soins, lié aux services de renseignement en Ouzbékistan. Selon Kaspersky, les cyberdélinquants ouzbeks ont été très facilement démasqués: ces pieds nickelés 2.0 n’étaient tout simplement pas très discrets.
Comme l’a révélé Vice, l’équipe de pirates s’est servie du nom d’un groupe militaire lié au service de la sécurité nationale de leur pays pour enregistrer un domaine utilisé dans son infrastructure d’attaque.
Le service de la sécurité nationale (SSN) fut créé en 1991, après l’effondrement de l’Union soviétique, pour succéder au KGB en tant qu’agence nationale de renseignement et police secrète de l’Ouzbékistan. Le SSN a été réorganisé début 2018 par le président ouzbek Shavkat Mirziyoyev, car il était reconnu pour ses actes de torture et ses violations des droits humains.
Les hackers ont également installé un logiciel antivirus de Kaspersky sur certains de leurs ordinateurs destinés à mettre au point de nouveaux malwares. C’est ainsi que l’entreprise a pu détecter et récupérer, avant son déploiement, un code malveillant encore en développement.
Les pirates auraient également inséré une capture d’écran de l’une de leurs machines dans un fichier test, exposant ainsi une plateforme d’attaque majeure en cours d’élaboration.
Surveillance renforcée
Toutes ces erreurs ont permis à Kaspersky de suivre les activités de l’agence d’espionnage ouzbèke. Mais les traces grossières laissées par cette dernière ont également permis à la firme de sécurité de placer sous surveillance d’autres groupes, en Arabie saoudite et aux Émirats arabes unis, qui avaient utilisé certaines des failles zero-day que SandCat avait achetées à prix d’or à des hackers tiers.
L’intérêt de l’agence pour les opérations de piratage offensif a été révélé pour la première fois en 2015. Cette année-là, un hacker nommé Phineas Fisher a piraté la Hacking Team, une société italienne vendant des outils de piratage aux gouvernements et aux services de police.
Fisher a ensuite publié des milliers de mails datés de 2011 à 2015 dévoilant les échanges de la société avec sa clientèle, dont faisait partie le service de la sécurité nationale d’Ouzbékistan. Selon ces messages, le SSN avait dépensé près d’un million de dollars en outils de piratage informatique, mais son activité était jusqu’alors passée inaperçue.
Brian Bartholomew, chercheur pour Kaspersky, estime que les imprudences de SandCat en matière de sécurité opérationnelle «peuvent être attribuées à l’arrogance et à l’inexpérience» .
Selon lui, révéler publiquement les erreurs du groupe risque certes de lui permettre de solidifier sa sécurité opérationnelle, mais cela augmentera également le nombre de spécialistes en mesure de les traquer –ce qui pourrait aider à identifier un plus grand nombre de leurs victimes actuelles et à les protéger.