Un groupe de hackers soutenu par le gouvernement russe, connu sous le nom de Coldriver, a développé trois nouvelles souches de logiciels malveillants afin de remplacer un outil exposé plus tôt cette année, selon des recherches récentes de Google.
Dans un rapport publié mardi, l’équipe d’intelligence sur les menaces de Google a indiqué que les hackers liés à Moscou, également suivis sous les noms Star Blizzard, Callisto et UNC4057, ont commencé à déployer ces nouveaux outils malveillants dans les cinq jours suivant la divulgation en mai de l’outil LostKeys.
Depuis cette annonce, Google n’a pas observé d’utilisation ultérieure de LostKeys, mais a détecté de nouveaux logiciels malveillants déployés “plus agressivement que lors de toutes les campagnes précédentes” liées à Coldriver.
Les nouveaux outils identifiés — NOROBOT, YESROBOT et MAYBEROBOT — sont conçus pour éviter la détection et voler des informations provenant de cibles de grande valeur.
Selon Google, les attaques commencent par un fichier malveillant nommé NOROBOT, livré via une page CAPTCHA falsifiée — une technique d’attrait utilisée précédemment dans les opérations LostKeys. Le chargement initial installe YESROBOT, une porte dérobée qui a ensuite été remplacée par une variante plus avancée appelée MAYBEROBOT.
Alors que Coldriver continue d’ajuster NOROBOT, MAYBEROBOT reste inchangé, ce qui suggère que le groupe se concentre sur la dissimulation de son infiltration dans un réseau tout en s’appuyant sur une porte dérobée de confiance pour éviter la détection par la suite, selon le rapport.
Il reste incertain pourquoi le groupe privilégie des malwares personnalisés plutôt que les techniques de phishing par credential qu’il a longtemps utilisées. Une théorie évoquée par Google est que Coldriver cherche à infecter des cibles déjà compromises par du phishing, utilisant des malwares pour extraire des informations supplémentaires directement de leurs appareils.
“Alors que Coldriver continue de développer et de déployer cette chaîne, nous pensons qu’ils maintiendront des opérations agressives contre des cibles de grande valeur pour atteindre leurs objectifs de collecte d’informations,” ont déclaré les chercheurs de Google.
Actif depuis au moins 2022, Coldriver est considéré comme opérant sous la direction des services de renseignement russes. Le groupe est connu pour espionner des organisations de droits de l’homme, des médias indépendants et des groupes de la société civile en Europe de l’Est et aux États-Unis.
Coldriver vole généralement des identifiants pour accéder aux e-mails et exfiltrer d’autres données de ses cibles, mais a également utilisé auparavant des malwares comme Spica pour cibler des individus spécifiques et accéder à des documents stockés sur des systèmes compromis.
Points à retenir
- ColdRiver a développé plusieurs nouveaux malwares pour remplacer LostKeys.
- Les outils NOROBOT, YESROBOT et MAYBEROBOT sont axés sur l’évasion des dispositifs de sécurité.
- Le processus d’attaque commence par la distribution d’un fichier malveillant via une fausse page CAPTCHA.
- Le groupe semble privilégier la collecte de données via des malwares au lieu de techniques de phishing traditionnelles.
- ColdRiver est soupçonné de travailler sous l’égide de services de renseignement russes.
En réfléchissant à ces récentes avancées, je me demande où s’arrêtera cette escalade dans le cyberespace. Les techniques de hacking évoluent rapidement, et comment pouvons-nous renforcer notre cybersécurité pour contrer de telles menaces ? La vigilance collective est primordiale dans ce paysage numérique de plus en plus complexe.