L’Ukraine met fin à une autre ferme de robots propagandistes pro-russes et fraudeurs sur Internet
Dans une lutte continue contre les hackers prorusses et la propagande en ligne, la police ukrainienne a récemment réussi à démanteler une importante ferme de robots accusée de répandre de la propagande pro-russe sur les réseaux sociaux.
Cette nouvelle opération à l’encontre d’une ferme de bots pirates intervient seulement un mois après une action similaire, démontrant ainsi la détermination du pays à contrer toute manipulation de l’opinion publique. Cela démontre aussi les moyens « technologique » mis en place par la Russie.
La dernière opération menée par la cyberpolice ukrainienne, en juillet, a abouti à la fermeture d’une ferme de robots bien plus importante que celles précédemment découvertes. Plus de 100 individus répartis dans différentes régions d’Ukraine ont été identifiés comme participants à cette organisation illicite.
Leur modus operandi consistait à créer de faux comptes sur diverses plateformes de médias sociaux. Pour ce faire, ils n’utilisaient pas moins de 150 000 cartes SIM issues de différents opérateurs de téléphonie mobile, une pratique astucieuse pour échapper à la détection.
Propagande et désinformation au service de la Russie
Les robots de cette ferme étaient principalement employés pour mener des opérations d’information et psychologiques au nom de la Russie. Leur travail consistait à justifier les actions des soldats russes en Ukraine et à propager des contenus illégaux. Cette désinformation visait à semer la confusion et la panique au sein de la population ukrainienne, créant ainsi une perception biaisée du conflit en cours.
Fraude sur Internet et violations des données personnelles
Outre la propagation de la propagande, la ferme de robots a également été impliquée dans des activités frauduleuses sur Internet. Ils étaient responsables du partage illégal de données personnelles de citoyens ukrainiens ainsi que de la diffusion de faux messages concernant de prétendues menaces à la sécurité nationale.
Actions de la cyberpolice ukrainienne
Dans le cadre de leur enquête, les forces de l’ordre ont mené pas moins de 21 perquisitions dans 9 régions ukrainiennes, au cours desquelles du matériel informatique, des téléphones portables et des cartes SIM ont été saisis. Une information importante révélée au cours de l’enquête est le mode de financement utilisé par les gestionnaires de la ferme de robots. Ils étaient rémunérés en roubles russes, une monnaie interdite en Ukraine. Pour convertir ces roubles en fonds utilisables, les criminels avaient recours à des systèmes de paiement sanctionnés tels que WebMoney et PerfectMoney, puis transféraient les fonds en crypto-monnaie sur des cartes bancaires. Un grand classique ! Cela reste étonnant que les « espions » de Poutine soient payés en roubles hors de la Russie.
Les quatre fantastiques en Russie
Pendant que l’Ukraine chasse ses pirates, la Russie a fort à faire avec les siens ! Le groupe de cybercriminels connu sous le nom de « Space Pirates » aurait récemment intensifié ses attaques contre des secteurs stratégiques de l’économie russe. Des experts en sécurité du centre Positive Technologies (PT ESC) auraient identifié au moins 16 attaques menées par ce groupe au cours de l’année 2023.
Etonnamment, si ces pirates étaient des hacktivistes, ils communiqueraient. Sauf que personne ne connaît cette équipe de hackers. Espionnage, donc ? Sur l’un des serveurs de contrôle des pirates de l’espace, un scanner Acunetix a été découvert. Heu ! Il y a plus discret ! Les pirates auraient fait des erreurs, dont la mauvaise configuration d’un serveur qu’il dirige.
Outre les données volées, le web shell Godzilla et le tunnel obfusqué Neo-reGeorg ont été découverts sur le serveur. Le groupe a également commencé à utiliser le logiciel ShadowPad. Des traces de l’utilisation de Deed RAT. Sur les ordinateurs infectés par Deed RAT, deux nouveaux plugins ont été découverts. Le premier s’appelle Disk et est utilisé pour travailler avec des disques dur.
En outre, une caractéristique intéressante a été identifiée – le chiffre 4 apparaît constamment dans la configuration : quatre jours pendant lesquels il est interdit à la backdoor de fonctionner, quatre liens vers les serveurs C2, quatre liens vers les serveurs proxy, quatre processus pour l’injection, quatre serveurs DNS, quatre adresses DoH.
Le fait est que dans la langue chinoise, le caractère signifiant le chiffre 4 est prononcé de la même manière que le caractère signifiant la mort, mais avec une intonation différente, donc le chiffre est considéré comme malchanceux. Une fausse trace pour laisser supposer que le groupe a des racines chinoises ?