La traque souterraine menée par les éditeurs en cybersécurité pour exposer au grand jour les agissements des groupes de cybercriminels ne connaît pas de répit. Dans un rapport intitulé Void Balaur : Tracking a Cybermercenary’s Activities, Trend Micro dévoile l’existence d’une bande organisée de cybermercenaires qui sévit depuis plus de cinq ans. Durant cette période, la bande a été à l’origine de près de 4 000 attaques dans le monde visant une grande variété de profils : responsables politiques, journalistes, ingénieurs IT, militants associatifs…
Le groupe fait, au moins depuis 2018, de la publicité uniquement sur des forums russophones et récolte des commentaires unanimement favorables. Il s’attache à gagner de l’argent à travers deux activités connexes : l’intrusion au sein de messageries électroniques et de profils sur les réseaux sociaux, et la vente d’informations personnelles et financières très sensibles (données relatives aux télécommunications, enregistrements de vols de passagers, données bancaires, informations liées aux passeports…).
Ma petite entreprise…
Organisé en véritable petite structure, Void Balaur dispose d’une grille tarifaire pour ses activités. Ceux-ci varient de 18 dollars pour des données fiscales à plus de 800 dollars pour l’accès à des enregistrements d’appels téléphoniques géolocalisés. Les cibles du groupe sont aussi bien des opérateurs télécoms russes, des fournisseurs de distributeurs automatiques de billets, des sociétés de services financiers, des assureurs médicaux, ou encore des cliniques de fécondation in vitro — soit des organisations connues pour stocker des informations très sensibles et potentiellement monétisables.
Le groupe cible également des journalistes, des défenseurs des droits de l’homme, des dirigeants politiques, des scientifiques, des médecins, des ingénieurs télécoms et des utilisateurs de cryptomonnaies. Au fil des années, le choix de ses victimes s’est diversifié. Ainsi, l’ancien chef d’une agence de renseignement, sept ministres en activité et une douzaine de membres de parlements de pays européens figurent parmi les cibles. Certaines d’entre elles — dont des chefs religieux, des diplomates et des journalistes — ont également été visées par le célèbre groupe Pawn Storm (APT28, Fancy Bear).
Trend Micro a associé à Void Balaur des milliers d’indicateurs et les a transmis aux organisations ciblées. Le collectif déploie le plus souvent des tactiques d’hameçonnage pour parvenir à ses fins, via parfois des logiciels malveillants tels que Z*Stealer ou Droid Watcher.