En 2017, un groupe de pirates informatiques du nom de Shadow Brokers a publié un ensemble de données, le « Lost in Translation », qu’il aurait obtenu de la NSA. Les documents contenaient une importante collection d’outils de piratage dont celui du fameux EternalBlue, qui a servi à déployer les attaques de ransomwares WannaCry, NotPetya et Bad Rabbit. Mais le document le plus important qui se trouvait parmi cette collection est le fichier portant le nom de sigs.py. Il contient de nombreuses informations cruciales sur les transmissions et fonctionnait comme un scanner de logiciels malveillants utilisé par la NSA pour rechercher les APT (Advanced persistent threats). Ce terme est utilisé pour désigner les groupes de pirates appuyés par des nations étrangères. Il semble que sigs.py ait répertorié 44 APT dont la plupart sont inconnus des spécialistes en cybersécurité, ce qui démontre que la NSA est au courant de certaines choses inconnues du secteur privé. Par contre, l’unité d’élite chargée de la détection de piratage informatique de Kaspersky, GREaAT, a identifié un de ces APT traqué par la signature sigs.py nº 27. Selon l’entreprise, cette signature de sigs.py est capable de traquer les fichiers faisant partie du framework de programmes malveillants du nom de « DarkUniverse ». Les actes de piratage provenant de DarkUniverse ont cessé depuis la publication des données du « Lost in Translation ». Les experts du GReAT pensent que les pirates sont passés à une méthode plus moderne.

Par ailleurs, Kaspersky annonce que plusieurs pays ont été attaqués par les pirates informatiques, dont des pays d’Afrique comme le Soudan ou la Tanzanie, mais également des nations asiatiques comme la Russie, l’Iran ou la Syrie. En général, les victimes font partie d’organisations de la société civile ou à caractère public comme les organismes liés à l’énergie solaire, des institutions de santé ou des entités militaires. Néanmoins, il leur est difficile d’estimer le nombre réel des personnes impactées à cause d’un manque de visibilité sur les actions du groupe de pirates. Par ailleurs, les chercheurs du GReAT ont aussi remarqué que plusieurs actes de piratage semblent provenir de certains États. C’est le cas du virus ItaDuke, qui cible particulièrement les communautés chinoises des ouïghours et du Tibet, dont le mode de fonctionnement ressemble grandement à DarkUniverse. Par contre, les experts ne sont pas en mesure d’affirmer que ce dernier est l’œuvre de pirates chinois.

À lire aussi Cybersécurité : l’application est devenue la cible principale devant l’infrastructure et l’IoT