OPERA1ER, le groupe de piratage a volé 11 millions de dollars à 12 pays africains

La société de cybersécurité basée à Singapour Group-IB et Orange CERT, la branche de sécurité informatique de la société française de télécommunications Orange, ont révélé dans un nouveau rapport que 12 pays africains ont perdu des millions de dollars au profit d'un groupe de piratage basé dans un pays africain francophone inconnu.

L'acteur menaçant, qui ciblait principalement l'Afrique francophone, portait le nom de code OPERA1ER et s'appuyait uniquement sur des outils prêts à l'emploi connus. Il a réussi à lancer plus de 30 attaques réussies contre des banques, des fournisseurs de services financiers et des entreprises de télécommunications entre 2018 et 2022, volant 11 millions de dollars dans le processus.

Le montant réel des dommages pourrait être jusqu'à cinq fois supérieur au montant volé. « Selon nos calculs, le montant total des dommages varie de 30 à 50 millions de dollars. Cependant, cela pourrait être encore plus », a déclaré à Quartz Rustam Mirkasymov, responsable de la recherche sur les cybermenaces au European Threat Intelligence & Research Center du Group-IB à Amsterdam.

Pays ciblés par OPERA1ER

Les pays touchés sont la Côte d'Ivoire, le Mali, le Burkina Faso, le Bénin, le Cameroun, le Gabon, le Niger, le Nigéria, le Sénégal, la Sierra Leone, le Togo et l'Ouganda. Ceux en dehors de l'Afrique sont l'Argentine, le Bangladesh et le Paraguay. La plupart des victimes ont été attaquées deux fois, et "leur infrastructure a ensuite été utilisée pour attaquer d'autres organisations".

OPERA1ER, qui porte également les noms de DESKTOP-group et Common Raven, remonte à 2016 lorsqu'il a enregistré son premier domaine.

Il mène des cyber-attaques le week-end ou pendant les jours fériés car selon Mirkasymov, « il est beaucoup plus difficile d'arrêter les transactions frauduleuses ou d'arrêter une attaque ces jours-là. Même si quelqu'un détecte une tentative de retrait d'argent, pendant le week-end, il n'est pas facile de l'arrêter et de récupérer l'argent.

Le rapport indique qu'OPERA1ER est un acteur de menace chevronné et une fois qu'il a remarqué qu'il était tracé, il a supprimé ses comptes et changé ses pistes pour couvrir son activité l'année dernière. Mais il a refait surface cette année.

Mirkasymov explique: «Cela est en corrélation avec le fait qu'ils passent de trois à 12 mois à partir de l'accès initial au vol d'argent. Le nombre exact de membres du gang est inconnu.

OPERA1ER utilise des tactiques dépassées

Mais contrairement aux attaquants modernes qui utilisent des logiciels et des technologies sophistiqués tels que l'apprentissage en profondeur pour cloner les empreintes digitales et voler les mots de passe, OPERA1ER utilise des programmes open source prêts à l'emploi, des logiciels malveillants librement disponibles sur le dark web et des frameworks de Red Team populaires, tels que Metasploit et Cobalt Strike. 

« Dans au moins deux incidents dans différentes banques, les attaquants ont déployé des serveurs Metasploit à l'intérieur d'une infrastructure compromise. Parce que le gang s'appuie uniquement sur des outils publics, il doit sortir des sentiers battus : lors d'un incident, il a utilisé un serveur de mise à jour antivirus déployé dans l'infrastructure comme point de pivot », explique le rapport.

Mais il commence ses attaques par une tactique très familière : des e-mails de harponnage de haute qualité ciblant un employé spécifique au sein d'une organisation avec la plupart de ses messages écrits en français, « allant de fausses notifications des bureaux des impôts gouvernementaux aux offres d'embauche de la Banque centrale de États d'Afrique de l'Ouest.

Sous le couvert d'une pièce jointe légitime à un courrier électronique, OPERA1ER distribue des chevaux de Troie d'accès à distance, tels que Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, Venom RAT, ainsi que des renifleurs de mots de passe et des dumpers, indique le rapport.

Une fois qu'il y a accès, le groupe de piratage utilise les informations dans un hameçonnage plus ciblé, mais prend du temps pour étudier la documentation interne afin de mieux se préparer à l'étape de retrait.

Dans un cas, montre l'étude, un réseau de plus de 400 comptes d'abonnés contrôlés par des mules financières embauchées par OPERA1ER a été utilisé pour permettre l'encaissement des fonds volés, principalement du jour au lendemain via des distributeurs automatiques de billets.

Dans au moins deux affaires bancaires, OPERA1ER a réussi à accéder au logiciel d'interface de messagerie SWIFT mondial (vraisemblablement Alliance Access) exécuté sur les ordinateurs des banques. Bien que SWIFT n'ait pas été compromis dans le processus, "les attaquants ont pu s'introduire dans les systèmes à l'intérieur des banques où ce logiciel était installé". En 2018, des pirates ont volé 6 millions de dollars lors d'une attaque contre le système SWIFT.

Dans un passé récent, l'Afrique a été mal préparée aux cybermenaces, perdant 4 milliards de dollars par an, mais de nouveaux efforts de la part de chaque pays devraient renforcer la résilience en matière de cybersécurité et aider les entreprises à mieux se préparer.


Source : Quartz