Quand les hackers attaquent les hackers

Sur Internet, lorsque les pirates tombent sur des pirates, le cocktail peut être explosif. C'est l'avertissement qu'a lancé Kaspersky Lab* mercredi à Singapour, en marge du forum Interpol World, dont il est partenaire. Le géant russe de la sécurité informatique affirme avoir "observé le cas rare et inhabituel d'une attaque perpétrée par un cybercriminel contre un autre". En l'occurrence, il s'agissait de deux groupes de hackers qui se battaient pour le contrôle d'ordinateurs zombies via des menaces permanentes avancées (ou Advanced Persistent Threats, APT), c'est-à-dire des codes malveillants puissants et déployés sur de longues périodes.

"La découverte a été faite par les experts de Kaspersky Lab pendant leurs recherches sur les activités de Naikon, un groupe de cyberespionnage visant des cibles dans la zone Asie-Pacifique", explique Kaspersky Lab. Dans les jours qui ont suivi la disparition du vol MH370 de la Malaysia Airlines, Naikon a infecté des centaines de cibles gouvernementales dans plusieurs pays, volant des milliers de documents confidentiels. Il a par exemple utilisé des messages contenant de faux documents officiels infectés pour que des responsables les ouvrent dans des ministères ou des états-majors militaires.

La victime essaie d'infecter l'attaquant

"Nos experts ont remarqué que l'une des cibles de Naikon avait repéré la tentative d'infection de ses systèmes par un e-mail comportant une pièce jointe malveillante", poursuivent les analystes russes. Ce destinataire faisait partie du groupe nommé Hellsing (en référence à un manga japonais comportant un justicier ténébreux). Il "a vérifié l'authenticité de l'e-mail auprès de l'expéditeur et, apparemment non satisfait de la réponse, n'a pas ouvert la pièce jointe. Peu après, il a renvoyé à l'expéditeur un message contenant un malware de son crû", raconte Kaspersky Lab.

La cible a donc essayé d'infecter son attaquant : "Hellsing voulait identifier le groupe Naikon et recueillir des informations à son sujet", précisent les experts en sécurité. "Habituellement, nous ne voyons pas les attaques entre hackers, car ils sont extrêmement discrets et prudents", nous confie Costin G. Raiu, directeur de l'équipe de recherche et d'analyse (GReAT) chez Kaspersky Lab. "De plus, étant donné qu'ils lancent eux-mêmes des attaques, il est très rare de les voir être infectés !" ajoute-t-il.

La guerre entre pirates pour le contrôle des ordinateurs zombies n'est pas nouvelle, mais elle prend de l'ampleur. Et pour nettoyer un ordinateur nouvellement infecté de tous les codes malveillants des autres groupes de pirates, les attaquants font parfois appel aux antivirus vendus dans le commerce, qu'ils installent sauvagement sur les postes des victimes... en prenant soin de ne pas se faire détecter par le moteur d'analyse. Ironie, quand tu nous tiens !

* Kaspersky Lab a invité Le Point.fr au forum Interpol World.