Les pirates s’intéressent en particulier aux informations de navigation et de localisation des forces vénézuéliennes.
Les centres de recherche ESET ont mis à jour une vaste campagne de cyber-espionnage en cours contre des cibles très sensibles en Amérique latine. Plus de la moitié des ordinateurs attaqués appartiennent notamment aux forces militaires vénézuéliennes. Mais cette campagne cible également d’autres institutions nationales, allant de la police à l’éducation, en passant par les affaires étrangères.
La majorité des attaques (75 %) concerne le Venezuela, et 16 % l’Équateur, où les forces armées ont également été ciblées.
L’opération est attribuée au groupe Machete. Celui-ci aurait déjà dérobé à ses victimes plusieurs giga-octets de documents confidentiels par semaine. La campagne est toujours très active et intervient à un moment où les tensions régionales s’exacerbent et où les tensions internationales entre les États-Unis et le Venezuela sont au plus fort.
Les chercheurs d’ESET ont suivi une nouvelle version des outils « Machete » (la boîte à outils du groupe) qui a été vue pour la première fois il y a un an. En seulement trois mois, de mars à mai 2019, ESET a ainsi pu observer plus de 50 ordinateurs victimes communiquer avec des serveurs de commandes et de contrôle (C&C) appartenant aux cyber-espions. Les chercheurs ont également pu observer les attaquants apporter régulièrement des modifications au malware, à son infrastructure et même aux campagnes de phishing en cours.
« Les opérateurs de Machete utilisent des techniques d’hameçonnage ciblées très efficaces. Leur longue série d’attaques, axées sur les pays d’Amérique latine, leur a permis de recueillir des renseignements et d’affiner leurs tactiques au fil des ans. Ils connaissent très bien leurs cibles, savent comment se fondre dans les communications régulières et quels documents sont les plus précieux à voler », explique Matias Porolli, chercheur en cybersécurité chez ESET. « Par exemple, les attaquants s’intéressent de près aux fichiers utilisés par les systèmes d’information géographique (SIG). Et ils exfiltrent en particulier ceux qui décrivent des routes de navigation et des positionnements exprimés à l’aide de grilles militaires », ajoute-t-il.
Victimes de Machete par pays en 2019 selon ESET Research
Pour piéger ses victimes, le groupe Machete leur envoie des courriels très spécifiques et très personnalisés. Pour tromper les cibles les moins méfiantes, les opérateurs Machete utilisent notamment des documents réels qu’ils ont volés auparavant - par exemple, des documents militaires classifiés. Parmi ceux-ci figurent les « radiogrammes », des documents utilisés régulièrement pour la communication au sein de l’armée. Les attaquants profitent également de leur connaissance du jargon militaire et de l’étiquette de ce milieu pour créer des courriels d’hameçonnage très convaincants.
Concrètement, l’attaque commence généralement par un fichier auto-extractible contenant un leurre et se poursuit par le téléchargement et l’installation des divers composants de la porte dérobée. Celle-ci se compose d’un module-espion qui s’exécute indéfiniment, et qui copie et chiffre les documents, réalise des captures d’écran et enregistre les frappes au clavier. Le composant de persistance s’active quant à lui toutes les 30 minutes et installe d’autres modules éventuels. De plus, une communication sécurisée avec les attaquants est établie toutes les dix minutes afin d’envoyer les données volées au serveur de Command & Control. Côté logiciel, tous les composants utilisent le terme « Google » dans leurs noms de fichiers pour masquer leur intention malveillante.
« L’activité du groupe Machete est plus forte que jamais, et notre enquête a montré que celui-ci est capable d’évoluer rapidement, parfois en quelques semaines à peine. Différents artefacts que nous avons vus dans le code de Machete, ainsi que l’infrastructure sous-jacente, nous amènent à penser qu’il s’agit d’un groupe hispanophone », explique Matias Porolli de ESET.
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr