« Ses attaques sont un chef-d'œuvre »

Le monde du cyberespace est un terrain opaque et complexe, où les opérations secrètes voient rarement la lumière. Cependant, à cette occasion, ce qui pendant des années était un simple soupçon, semble être confirmé: le mystérieux groupe de pirates connu sous le nom « Masque »ou aussi « le masque », découvert il y a plus de dix ans par des chercheurs en cybersécurité, a exploité, selon Fuentes, sous le contrôle de la Gouvernement d'Espagne. Ce fait le place dans un groupe sélectionné et petit d'unités de Piratage État occidental dont l'existence a transcendé le public.

Un groupe de piratage d'élite soupçonné pendant plus d'une décennie

Il y a plus de dix ans, des chercheurs de la société bien connue se sont spécialisés dans les services de cybersécurité Kaspersky Ils ont identifié un trafic Internet suspect qui, initialement, pensait qu'il appartenait à un groupe déjà connu soutenu par un gouvernement. Ils ont vite réalisé qu'ils étaient avant Une opération de piratage beaucoup plus avancée. Après une enquête, ils ont réussi à attribuer cette activité à un groupe de pirates d'espagnol, à ce moment complètement inconnu, qu'ils ont baptisé comme « masque », pour un mot qu'ils ont trouvé caché dans le code de leurs logiciels malveillants.

Careto n'a jamais été publiquement lié à un gouvernement spécifique. Cependant, il a été révélé que les chercheurs qui l'ont découvert pour la première fois étaient convaincus que les pirates de gouvernement espagnol étaient derrière ces opérations d'espionnage. En 2014, lorsque l'existence d'un masque a été révélée, ses découvreurs l'ont décrit comme « l'une des menaces les plus avancées du moment ».

Ses logiciels malveillants furtifs ont pu voler des données très sensibles, y compris des conversations privées et des pulsations à clavier d'ordinateurs compromis. Caneto Malware a été utilisé pour infiltrer les institutions gouvernementales et les entreprises privées du monde entier.

En interne, selon plusieurs personnes qui ont travaillé dans l'enquête et qui en connaissaient, les chercheurs ont conclu que Careto était une équipe de piratage qui travaillait pour le gouvernement espagnol. « Il n'y avait aucun doute à ce sujet, au moins tout raisonnable »a déclaré l'un des anciens employés. L'entreprise, cependant, a décidé de ne pas le rendre public, en maintenant une politique stricte de « aucune attribution ».

Les indices qui indiquaient le gouvernement espagnol

Partie du malware « masque »Kaspersky

Les tests qui indiquaient l'Espagne étaient divers et cohérents. Dans les premiers stades de l'enquête, il a été découvert que les pirates de masque avaient eu comme objectif principal un réseau et des systèmes gouvernementaux à Cuba. Cette victime particulière a été celle qui a allumé l'alarme et a lancé l'enquête sur Mask.

Il a été soupçonné que l'intérêt pour Cuba pourrait être lié à la présence de membres de l'organisation terroriste de l'ETA dans le pays à l'époque, qui résidait à l'approbation du gouvernement local. En fait, Cuba était, avec beaucoup, le pays avec le plus grand nombre de victimes identifiées à ce moment-là, toutes appartenant à une seule institution du gouvernement cubain, qui indiquait un intérêt clair des assaillants.

Mais les pistes ne se limitaient pas à Cuba. L'opération d'espionnage a affecté des centaines de victimes dans d'autres pays, notamment le Brésil, le Maroc, l'Espagne elle-même et, de manière significative, Gibraltar. Ces objectifs géographiques, en particulier le Brésil (où le gouvernement espagnol a promu un consortium pour un projet ferroviaire à grande vitesse) et Gibraltar (une enclave contestée), ont été alignés sur les intérêts géostratégiques de l'Espagne.

Peut-être que les preuves les plus curieuses et les plus révélatrices étaient un Trait linguistique Trouvé dans le code malware: la chaîne « Cagen1amar ». Ceci est une contraction de l'expression familière espagnole, « I Shit in the Sea », qui est généralement utilisé en Espagne et non dans d'autres pays espagnols. De plus, lorsque la société antivirus a annoncé publiquement la découverte de Mask en 2014, bien que sans nommer un gouvernement, son rapport technique comprenait une illustration d'un masque avec des cornes de toro, des castanets et les couleurs du drapeau espagnol.

Caneto malware, en plus de voler des données sensibles, pourrait intercepter le trafic Internet, les conversations Skype, les clés de chiffrement, les paramètres VPN et les captures d'écran. Des preuves ont été révélées qu'il existait depuis 2007 et a pu exploiter les systèmes Windows, Mac et Linux, avec des indications possibles de code pour Android et iPhone.

La chasse continue

Une fois que l'enquête sur Mask a été rendue publique en 2014, Les pirates derrière le groupe ont désactivé toutes leurs opérations découvertes par l'entreprise de cybersécuritémême effacer leurs dossiers, un mouvement que les chercheurs ont décrit comme « pas très commun » et qui a placé un masque dans « l'élite » des groupes de piratage gouvernementaux. « Vous ne pouvez pas le faire si vous n'êtes pas préparé », a déclaré un ancien employé, faisant référence à la capacité de détruire toutes les infrastructures systématiquement et rapidement.

Cependant, Careto n'a pas disparu pour toujours. Après être allé à l'ombre, aucune détection publique n'a été signalée avant Mai 2024quand il a été annoncé que le malware du masque avait été retrouvé, attaquant une organisation non identifiée en Amérique latine et une autre en Afrique centrale. Bien que les chercheurs soulignent qu'ils ne savent pas qui ou ce que le gouvernement est derrière le masque maintenant, l'attribution à ce groupe est « moyenne à haute confiance » en fonction de la similitude des fichiers et des tactiques avec les opérations il y a dix ans il y a une décennie.

Malgré avoir été découvert à nouveau, Les pirates de caneto sont toujours « tout aussi bons »selon un chercheur. Et ce qui est le plus choquant: par rapport aux groupes de piratage soutenus par des gouvernements beaucoup plus grands et plus connus, tels que le groupe nord-coréen Lazarus ou le chinois APT41, un masque est décrit comme une « très petite menace persistante avancée qui dépasse tous ces grands complexes ». L'une des phrases qui ferme cette analyse est nette: « Ses attaques sont un chef-d'œuvre »

Julien

Julien

Je suis Julien, ingénieur en génie civil devenu rédacteur chez IRESTE, où je fusionne ma formation technique avec ma passion pour l'électronique. Mon but : inspirer par mes écrits la prochaine génération d'experts en mettant en lumière la richesse des métiers manuels.

Article précédent
La victime de l'agresseur changé de genre ouvre une campagne pour ses dépenses judiciaires
article suivant
Service Scientific Program ferme son dernier cycle avec plus de 22 000 étudiants touchés

IRESTE, plus connu sous le nom d'Institut de Recherche d'Enseignement Supérieur aux Techniques de L'électronique, est un média spécialisé dans le domaine de l'électronique.