Void Balaur, le groupe de cybermercenaires qui fait des milliers de victimes

Lors de la récente conférence Black Hat Europe 2021, un fournisseur de sécurité a révélé un piratage informatique de grande ampleur. Parmi les victimes, des hommes politiques, des médecins, des dissidents, des militants des droits humains et des journalistes. Des chercheurs de l’entreprise japonaise Trend Micro ont suivi les activités de ce groupe de cybermercenaires russophones. Ils l’ont appelé Void Balaur, en référence à une créature légendaire à plusieurs têtes du folklore d’Europe de l’Est.

Par « cybermercenaire », il faut comprendre un groupe d’individus qui propose à ses clients, tels que des gouvernements, des organisations criminelles et même des entreprises, différents types de produits et de services sur le Web, moyennant un certain prix. « En théorie, les cybermercenaires peuvent être utilisés à des fins non malveillantes, par exemple pour aider les gouvernements à lutter contre le terrorisme et le crime organisé, explique Trend Micro. Mais, en réalité, leurs services finissent par être utilisés dans des attaques visant les adversaires de leurs clients. » Dans le rapport présenté à la conférence Black Hat Europe 2021, les chercheurs ont décrit le groupe Void Balaur comme étant actif probablement depuis septembre 2015.

Espionnage et vente de données personnelles

Les services de Void Balaur consistent à s’introduire dans des comptes de messagerie de personnes ciblées et à voler des données personnelles sensibles. Passeports, SMS, enregistrements d’appels téléphoniques, informations sur l’appelant et sa localisation, billets achetés pour des voyages transfrontaliers en avion et en train, enregistrements d’Interpol, rapports de crédit… Les cybermercenaires vendent ensuite ces informations à prix fort.

Les recherches de Trend Micro montrent que, sur une période de dix-huit mois, Void Balaur a dérobé les données de plus de 3.500 cibles. Certaines victimes auraient même quitté leur pays et se seraient exilées. Les chercheurs ont d’ailleurs déclaré avoir établi un lien entre ces piratages et des attaques en Ouzbékistan, qu’Amnesty International avait signalées l’an dernier.

Des militants des droits humains pris pour cible

Les rapports de Trend Micro, d’eQualitie et d’Amnesty International mentionnent des attaques contre des militants des droits humains, des journalistes, des médias et des sites Web couvrant l’actualité politique. D’après les chercheurs, Void Balaur n’hésiterait pas non plus à s’en prendre à des cibles plus médiatiques.

Le groupe a attaqué l’ancien directeur d’une agence de renseignement, des ministres en exercice, des membres du parlement national d’un pays d’Europe de l’Est et même des candidats à la présidence. Plus récemment, Void Balaur a attaqué des personnalités politiques au Kazakhstan, en Ukraine, en Slovaquie, en Russie, en Norvège, en Arménie, en Italie et en France, indique le rapport.

Techniques et clients mystères

Trend Micro n’a pas été en mesure d’identifier les clients du groupe de menaces. De même, les techniques et procédures du groupe ne sont pas claires. Phishing, piratages de comptes du personnel des forces de l’ordre, copies de boîtes mails, détournement d’employés clés de fournisseurs de messagerie… Pour le moment, les chercheurs ne sont pas parvenus à identifier de quelle façon les membres de Void Balaur ont réussi à accéder à certaines des données mises en vente au cours des dernières années.

D’après le rapport d’Amnesty International, Void Balaur aurait utilisé des logiciels malveillants. Z*Stealer est l’un d’eux. Il est conçu pour recueillir des informations d’identification à partir de différents types de logiciels tels que des applications de messagerie instantanée, des clients de messagerie, des navigateurs et des programmes de protocole de bureau à distance. Le groupe utilise aussi DroidWatcher, un autre malware destiné au vol d’informations. Mais ce dernier dispose de capacités d’espionnage et de suivi à distance. Un moyen pour ses utilisateurs d’accéder à des informations sensibles de localisation et de communication.

Il est possible qu’il ne s’agisse pas d’attaques ponctuelles, mais d’une campagne plus vaste, menée sur plusieurs fronts. En outre, bien qu’apparemment motivées par des raisons financières, de nombreuses campagnes pourraient être motivées par le désir de provoquer des perturbations et des conflits parmi leurs victimes, conclut le rapport.