La Gendarmerie Nationale Française met fin aux agissements d’un groupe de pirates du Moyen Orient

Lu pour vous sur ZATAZ.com

Les Gendarmes du C3N mettent fin à une infection malveillante qui agissait en sourdine. Plus de 900 000 machines infectées par Retadup désinfectées par les militaires Français.

Belle réussite pour la Gendarmerie Nationale Française et son centre de lutte contre les criminalités numériques (C3N). Après une alerte de l’éditeur d’antivirus Avast de l’évolution d’un code malveillant détecté dans des dizaines de milliers de machines, le C3N a pris les choses en main. L’action vient de se conclure par la désinfection, par le C3N, de 960 000 machines prises en otage par le code Retadup.

Le groupe de pirate, basé au Moyen-Orient, infiltrait les ordinateurs. Mission : cyber surveillance, diffusion de contenus malveillants et DDoS.

Retadup en mode sourdine

Les Gendarmes ont été saisis de l’affaire après la découverte du C&C des pirates. Pour faire simple, il s’agit du centre de contrôle pirate qui permet de prendre en main les machines infectées de par le monde. Le code malveillant installé dans les ordinateurs piratés servait aussi à lancer des Dénis Distribués de Service (DDoS). Imaginez 960 000 ordinateurs venir vous demander une connexion en une seconde. Votre serveur ne va pas aimer l’humour.

Selon les informations de ZATAZ, ce C&C était installé chez l’hébergeur Online.

Une fois le C&C dans les mains des cyber gendarmes, les connections entre le serveur pirate et les machines infectées étaient analysées par les militaires Français. Ces derniers ont ainsi pu désinfecter les ordinateurs transformés en zombies par les pirates.

Le code Retadup est connu pour être le « couteau » Suisse de pirates Palestiniens. Ils ont, par exemple en 2017, attaqué plusieurs Hôpitaux Israéliens afin d’y voler des données personnelles. Des pirates qui utilisent, par exemple, de fausses pages d’actualités pour piéger leurs victimes : newsofpalestine*com …

Keylogger et compagnie

Retadup permet de télécharger de fichiers; Keylogger (enregistreur de frappe clavier); captures écrans; extraction des mots de passe des navigateurs Mozilla, Firefox, Opera et Google Chrome; affichage d’un message dans une boîte de dialogue. Bref, les anciens qui se souviennent du cheval de Troie Back Orifice reconnaîtrons les actions de Retadup. Plus récent, Retadup semble être l’enfant d’un autre logiciel pirate :  ROW MANTI.

La « force » de ce code malveillant : Il contient une liste d’antivirus à détruire en cas de découverte sur la machine infectée. Il s’auto-détruit si un antivirus, une sandbox, une machine virtuelle sont présents dans la machine. Il vérifie également la présence de certains fichiers LNK liés au paiement en ligne et aux envois de fonds.

Un millier d’ordinateurs Français étaient concernés par l’infiltration de Retadup.

Au sujet de l’auteur

Damien Bancal – Fondateur de ZATAZ.COM / DataSecurityBreach.fr – Journaliste – Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. En savoir plus : https://www.damienbancal.fr

Previous Story

Next