DERNIERES INFOS
S'informer devient un réel plaisir

Rapport de Group-IB sur OPERA1ER, le gang de hackers qui a dérobé11 millions de dollars à des sociétés africaines

0

Group-IB, leader mondial de la cybersécurité basé à Singapour, a dévoilé aujourd’hui son nouveau rapport : OPERA1ER. Jouer à Dieu sans autorisation, en collaboration avec les chercheurs du CERT Orange. Le rapport se penche sur les agissements d’OPERA1ER, un réseau de hackers francophones aux motivations financières, pour en explorer en détail les offensives. Le gang, équipé seulement d’outils « prêts à l’emploi », a réussi plus de 30 attaques visant des banques, des établissements de services financiers et des opérateurs de télécommunications principalement basés en Afrique entre 2018 et 2022. Le montant des gains d’OPERA1ER est confirmé à 11 millions de dollars au moins, d’après les estimations de Group-IB. Une des attaques d’OPERA1ER reposait sur un vaste réseau de 400 comptes de mules ouverts pour effectuer les retraits de l’argent issu de cette fraude. Durant cette période, les chercheurs de l’unité European Threat Intelligence de Group-IB ont identifié et contacté 16 organisations touchées pour les aider à contenir la menace et à prévenir les futures attaques d’OPERA1ER.

Ce rapport a été finalisé en 2021, année où le gang était toujours actif. Alerté par l’intérêt grandissant de Group-IB pour ses activités, OPERA1ER a commencé à supprimer ses comptes et à modifier ses TTP afin de couvrir ses traces. Group-IB a décidé de reporter la publication de ce rapport, préférant attendre que l’acteur malveillant se manifeste de nouveau, ce qui s’est produit en 2022. De ce fait, le rapport contient également les indicateurs de compromission (IoC) relatifs à la période 2019-2021. Vous trouverez les derniers IOC et les cibles d’OPERA1ER dans la publication de blog de Group-IB. Ces modifications mineures n’ont aucune incidence sur les conclusions générales du rapport. Grâce à la Threat Intelligence et au partage des ressources, le CERT Orange et Group-IB ont pu mieux cerner le mode opératoire de l’acteur malveillant. Les conclusions de l’enquête ont toutes été compilées dans ce rapport afin d’aider la communauté de la cybersécurité à garder un œil sur les activités d’OPERA1ER et ainsi se prémunir d’attaques futures.

« Smooth OPERA1ER »

Les artefacts de digital forensics, analysés par Group-IB et Orange suite à plus de 30 intrusions d’OPERA1ER survenues entre 2018 et 2022, ont permis d’identifier les organisations touchées dans les pays suivants : Côte d’Ivoire, Mali, Burkina Faso, Bénin, Cameroun, Bangladesh, Gabon, Niger, Nigéria, Paraguay, Sénégal, Sierra Leone, Ouganda, Togo, Argentine. La plupart des victimes identifiées ont fait l’objet de deux attaques réussies, et leur infrastructure a ensuite servi de pivot pour s’en prendre à d’autres organisations. Selon les estimations de Group-IB, OPERA1ER est parvenu à dérober, entre 2018 et 2022 seulement, pas moins de 11 millions de dollars. Toutefois, le véritable montant des dégâts s’élève vraisemblablement jusqu’à 30 millions de dollars.

Les premières traces de la présence d’OPERA1ER, également connu sous les noms DESKTOP-group et Common Raven (bulletin de sécurité SWIFT ISAC du 23 juin 2021), remontent à 2016, année où le groupe a enregistré son plus ancien domaine connu. Dans ce nouveau rapport, Group-IB a été en mesure d’identifier des éléments précédemment ignorés concernant l’infrastructure du gang, y compris des serveurs C2 récemment déployés et des adresses IP. Le nom de code « OPERA1ER » a été choisi par Group-IB d’après un des comptes fréquemment utilisés par l’acteur malveillant pour enregistrer ses domaines.

« Une analyse détaillée des dernières attaques du gang révèle un mode opératoire intéressant, puisqu’OPERA1ER attend généralement les week-ends et jours fériés pour lancer ses attaques », déclare Rustam Mirkasymov, directeur de la recherche en cybersécurité chez Group-IB Europe. « Cette observation concorde avec le fait qu’il se passe entre trois et douze mois entre l’accès initial et le vol d’argent. Il a été établi que ce groupe de hackers opérait probablement depuis l’Afrique. Nous ne connaissons pas le nombre exact de membres au sein du groupe. »

Une lente ruée vers l’or

Le groupe se distingue notamment par l’utilisation de programmes open source et prêts à l’emploi, de malwares en circulation libre sur le dark web ainsi que de frameworks de Red Teaming tels que Metasploit et Cobalt Strike. Au cours de deux incidents au moins, survenus dans différentes banques, les attaquants ont déployé le serveur Metasploit à l’intérieur de l’infrastructure compromise. Les hackers employant uniquement des outils publics, ces derniers doivent redoubler de créativité : lors d’un incident, analysé par Group-IB et Orange, OPERA1ER a ainsi utilisé comme point de pivot un serveur de mise à jour d’antivirus déployé dans l’infrastructure.

Les attaques d’OPERA1ER ont débuté avec des e-mails de spear phishing particulièrement sophistiqués ciblant des équipes précises au sein de l’organisation. La plupart des messages, rédigés en français, prennent l’apparence de notifications officielles des services d’impôts ou encore d’offres d’emploi de la BCEAO (Banque Centrale des États de l’Afrique de l’Ouest). Sous la forme trompeuse de pièces jointes, OPERA1ER remet en réalité des trojans d’accès à distance, tels que Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET ou encore Venom RAT, ainsi que des sniffeurs et dumpers de mots de passe. Après s’être frayé un accès, OPERA1ER exfiltre les e-mails et documents internes pour les mettre à profit lors des prochaines tentatives de phishing. En amont de la phase de retrait, qu’ils préparent avec soin, les hackers prennent le temps d’étudier la documentation interne. En effet, la plupart des victimes d’OPERA1ER utilisent une plateforme complexe de monnaie numérique qui présente une architecture à trois niveaux des différents comptes afin de réaliser diverses opérations. Pour compromettre ces systèmes, OPERA1ER devait d’abord récupérer des informations spécifiques à propos des personnes clés impliquées dans les processus, des mécanismes de protection en place ainsi que des liens entre opérations backend sur la plateforme et retrait d’argent. Ainsi les hackers ont-ils pu obtenir ces données directement grâce à des agents de l’intérieur ou par eux-mêmes, en se frayant un chemin lent et prudent au sein des systèmes de leurs cibles.

Les conclusions de l’analyse de digital forensic indiquent qu’OPERA1ER a mis la main sur les identifiants de trois comptes disposant de différents niveaux d’accès afin de réaliser les opérations frauduleuses.

En premier lieu, l’acteur malveillant ciblait des comptes d’opérateurs contenant de fortes sommes d’argent. Les identifiants usurpés étaient alors détournés pour transférer l’argent vers des comptes utilisateurs canal, pour ensuite virer les fonds vers des comptes clients contrôlés par le gang. Pour finir, les fonds étaient retirés en espèces dans un réseau de guichets automatiques. Dans un des cas étudiés par les chercheurs, un réseau de plus de 400 comptes clients contrôlés par des mules, elles-mêmes engagées par OPERA1ER, a servi au retrait des fonds volés, organisé principalement de nuit. Ensemble, Group-IB et les chercheurs d’Orange ont pu déterminer que les mules avaient été recrutées trois mois à l’avance en analysant les activités des comptes clients utilisés pour le retrait illicite.

Par ailleurs, d’autres éléments portent à croire qu’OPERA1ER a réussi, au moins dans deux banques, à accéder à l’interface de messagerie SWIFT (vraisemblablement Alliance Access) exécutée sur les ordinateurs des banques. Le logiciel sert à communiquer les détails des transactions financières. Il est à noter que le SWIFT n’a pas été compromis, même si les attaquants ont réussi à s’introduire dans les systèmes des banques où était installé le logiciel.

Dans une des banques, les hackers ont pris le contrôle d’un serveur SMS, qui a pu être utilisé pour contourner les dispositifs anti-fraude ou encore pour retirer de l’argent au moyen de systèmes de paiement ou de services bancaires mobiles. Toutefois, nous ne savons pas si l’acteur malveillant est parvenu à voler de l’argent au cours de ces attaques.

Pour la première fois, Group-IB détaille l’ensemble des tactiques, techniques et procédures d’OPERA1ER, ainsi que les outils et la kill chain identifiés au fil des différentes enquêtes sur des incidents provoqués par le gang. Dans ce rapport, les équipes internes dédiées à la cybersécurité trouveront des indicateurs de compromission (IoC) pouvant servir à identifier la présence d’OPERA1ER au sein des réseaux, et par là même prévenir de futures attaques en prenant des mesures proactives pour défendre le périmètre.

Laisser un commentaire

Votre adresse email ne sera pas publiée.