Le monde sombre du cyber-espionnage a un nouveau joueur sur le terrain: une pièce sournoise de logiciels malveillants surnommée «Lostkeys». Selon Google, une équipe de logiciels malveillants soutenue par l'État russe connu sous le nom de Coldriver utilise les LostKeys depuis le début de l'année pour espionner les gouvernements occidentaux, les journalistes, les groupes de réflexion et les organisations non gouvernementales.
Coldriver n'est pas exactement un nouveau enfant sur le bloc. En décembre, le Royaume-Uni et ses alliés de renseignement «cinq yeux» ont pointé le doigt sur eux. Le groupe de piratage était directement lié au Federal Security Service (FSB) de la Russie, qui est essentiellement leur contre-espionnage et leurs bigwig de sécurité intérieure.
Google révèle LostKeys, un malware lié à la Russie
Le groupe de renseignements sur les menaces de Google (GTIG) a repéré pour la première fois LostKeys en janvier. Il semble que Coldriver ait le déployé dans des attaques «ClickFix» très ciblées. Considérez-les comme des emplois de con à numérique où ils incitent les gens à gérer des scripts PowerShell douteux. Fondamentalement, les attaques ClickFix sont basées sur l'ingénierie sociale classique.
Une fois ces scripts en cours d'exécution, ils ouvrent la voie à une méchanceté encore plus de PowerShell à télécharger et à exécuter. Leur objectif principal est l'installation de LostKeys, que Google a identifiés comme un logiciel malveillant de données de script de base visuel (VBS). Selon le rapport de GTIG, LostKeys est comme un «aspirateur numérique» qui extrait des fichiers et des répertoires spécifiques. Il envoie également des informations système et exécute les processus aux attaquants.
Le MO habituel de Coldriver implique de voler les détails de connexion pour piloter des e-mails et des contacts. Cependant, ils sont également connus pour déployer un autre logiciel malveillant appelé SPICA pour saisir des documents et des fichiers. LostKeys semble servir un objectif similaire, mais il n'est fait ressortir que pour ceux-ci «cas hautement sélectifs. » Cela suggère qu'il s'agit d'un outil plus spécialisé dans la boîte à outils d'espionnage de Coldriver.
Fait intéressant, Coldriver n'est pas le seul groupe parrainé par l'État en train de se déchaîner dans ces attaques Clickfix. Le Cyber Underworld est apparemment un fan de cette tactique, avec des groupes liés à la Corée du Nord (Kimsuky), à l'Iran (Muddywater) et même à d'autres acteurs russes (APT28 et UNK_REMOTEROGUE) tous en utilisant des méthodes similaires dans leurs récentes campagnes d'espionnage.
Coldriver fonctionne depuis 2017
Coldriver est également connu par quelques autres alias, comme Star Blizzard et Callisto Group. Il a perfectionné leurs compétences en ingénierie sociale et en renseignement open source pour tromper les cibles depuis au moins 2017. Leurs cibles ont vont des organisations de défense et gouvernementales aux ONG et aux politiciens. Les attaques du groupe ont augmenté, en particulier après l'invasion de l'Ukraine par la Russie, se développant même aux sites industriels de la défense et aux installations américaines de l'énergie.
Le Département d'État américain a même giflé les sanctions contre quelques agents de Coldriver (un officier du FSB). Actuellement, les autorités américaines offrent une lourde récompense de 10 millions de dollars pour tous les conseils qui pourraient aider à retrouver d'autres membres. Cela reflète le niveau de sérieux avec lequel les États-Unis prennent le groupe.
