Depuis 2019, le groupe OPERA1ER, composé de hackeurs francophones, a réussi à mettre en place plus de 30 cyberattaques contre plusieurs banques et entreprises de télécommunications situées en Amérique latine, en Asie et en Afrique. Grâce à tous ces hacks, les cybercriminels ont réussi à dérober plus de 30 millions de dollars en quatre ans.

30 millions d’euros dérobés en 4 ans grâce à de multiples cyberattaques ciblées

Selon le rapport des spécialistes de Group-IB, une entreprise spécialisée dans la cybersécurité, OPERA1ER a pour habitude d’utiliser les mêmes techniques pour pirater ses victimes, ce qui a permis d’identifier la plupart des méfaits que le groupe a commis. Les hackeurs ont réussi à voler 11 millions de dollars depuis 2019 de façon certaine, mais les chercheurs affirment que « le montant réel serait supérieur à 30 millions de dollars, car certaines des entreprises touchées par ces attaques n’ont pas annoncé publiquement qu’ils avaient perdu d’argent ».

Les banques, les institutions financières, les sociétés spécialisées dans les télécommunications, ce sont les trois catégories d’organismes ciblées par les cybercriminels d’OPERA1ER. Toutes ces entreprises couvrent au moins une quinzaine de pays différents : Argentine, Bangladesh, Bénin, Burkina Faso, Cameroun, Côte d’Ivoire, Gabon, Mali, Niger, Nigéria, Ouganda, Paraguay, Sénégal, Sierra Leone et Togo.

Quel est le mode opératoire des hackeurs d’OPERA1ER ?

Pour arriver à ses fins, le groupe de cybercriminels commence ses attaques en envoyant des e-mails ciblés aux employés d’une entreprise. Ces mails les incitent à exécuter un logiciel malveillant sous prétexte qu’il s’agirait d’une mise à jour de sécurité. En exécutant le malware, l’employé est en réalité en train de télécharger un enregistreur de frappe, un outil qui se souvient de l’ensemble des mots rédigés par un utilisateur sur son clavier. C’est de cette manière que les hackeurs récupèrent subtilement les informations de connexion des employés.

Avec ces identifiants, les escrocs s’introduisent dans les comptes et ont ensuite accès aux adresses mail des administrateurs du réseau interne de l’entreprise, qu’ils essaient de piéger de la même manière, en envoyant un mail frauduleux. Ils accèdent ainsi au réseau et ont accès aux services de messagerie SWIFT, utilisés par les banques et autres institutions financières pour envoyer ou recevoir les détails des transactions de leurs clients.

Plus loin encore, les hackeurs n’hésitent pas à utiliser des outils tels que Cobalt Strike ou Metsploit afin de rester connectés au réseau le plus longtemps possible, souvent entre trois à douze mois. Afin d’être un minimum discret, ils utilisent les informations bancaires qu’ils ont pour transférer progressivement de l’argent sur des comptes qu’ils possèdent, avant de les retirer en liquide grâce à un distributeur automatique de billets.

Un mode opératoire qui s’est peaufiné au fil des années

« Il était évident que l’attaque était très sophistiquée, organisée, coordonnée et planifiée sur une longue période », précisent les spécialistes qui affirment qu’aucun malware sur mesure n’a été mis au point pour réaliser ces cyberattaques. Si le groupe existe depuis 2016, cette technique ne semble avoir été mise au point que depuis 2019 et plusieurs entreprises ont été attaquées à deux reprises. Pour couvrir leurs traces, les criminels ont utilisé des VPN qui permettent d’obtenir une autre adresse IP située à l’autre bout du monde, bien loin de sa réelle position.

Il semblerait donc que les hackeurs agissent de façon à récupérer les informations bancaires de particuliers ou de professionnels clients d’une banque ou d’une institution financière. OPERA1ER semble n’avoir jamais récupéré ces informations dans le but de les revendre ou de les divulguer, à la différence des rançongiciels, la technique de cybercriminalité la plus répandue du moment.