Les forces de l’ordre ont arrêté un suspect soupçonné d’être un membre clé du groupe de cybercriminalité OPERA1ER, qui a ciblé les services bancaires mobiles et les institutions financières dans des campagnes de logiciels malveillants, de phishing et de compromission des e-mails professionnels (BEC).
Le gang, également connu sous le nom de NX$M$, DESKTOP Group et Common Raven, est soupçonné d’avoir volé entre 11 et 30 millions de dollars au cours des quatre dernières années dans plus de 30 attaques couvrant 15 pays d’Afrique, d’Asie et d’Amérique latine. .
Le suspect a été arrêté par les autorités ivoiriennes début juin à la suite d’une action conjointe des forces de l’ordre baptisée Opération Nervone avec l’aide d’AFRIPOL, de la Direction de la cybercriminalité d’Interpol, de la société de cybersécurité Group-IB et de l’opérateur de télécommunications Orange.
D’autres informations qui ont aidé à l’enquête ont été partagées par la division des enquêtes criminelles des services secrets des États-Unis et des chercheurs en cybersécurité de Booz Allen Hamilton DarkLabs.
« Selon le Rapport d’évaluation de la cybercriminalité en Afrique 2022 d’INTERPOL, la cybercriminalité est une menace croissante dans la région de l’Afrique de l’Ouest, avec des victimes dans le monde entier. L’opération NERVONE souligne l’engagement d’INTERPOL à combattre de manière proactive la menace de la cybercriminalité dans la région », a déclaré Interpol aujourd’hui.
« L’opération Nervone a été soutenue par deux initiatives clés d’INTERPOL : l’Opération conjointe africaine contre la cybercriminalité et le Programme d’appui d’INTERPOL à l’Union africaine en relation avec AFRIPOL, financés respectivement par le ministère britannique des Affaires étrangères, du Commonwealth et du développement et le ministère fédéral allemand des Affaires étrangères. «
Les analystes de Group-IB et le département CERT-CC d’Orange, qui suivent le groupe OPERA1ER depuis 2019, ont lié les acteurs de la menace à plus de 35 attaques réussies entre 2018 et 2022, dont environ un tiers ont été menées en 2020.
Les membres d’OPERA1ER parlent principalement français et sont censés opérer depuis l’Afrique, et ils s’appuient sur divers outils dans leurs attaques, notamment des solutions open source, des logiciels malveillants courants et des frameworks tels que Metasploit et Cobalt Strike.
Cependant, l’accès initial aux réseaux des cibles est obtenu par le biais d’e-mails de harponnage qui exploitent des sujets populaires tels que les factures ou les notifications de livraison postale et diffusent un large éventail de logiciels malveillants de première étape, notamment Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET et Venom RAT, ainsi que des renifleurs de mots de passe et des dumpers.
OPERA1ER a été observé maintenant l’accès à des réseaux compromis pendant une période allant de trois à douze mois, ciblant parfois plusieurs fois la même entreprise.
Ils se concentrent également généralement sur les comptes d’opérateurs qui contrôlent des sommes d’argent importantes, en utilisant des informations d’identification volées pour transférer des fonds vers des comptes d’utilisateurs de canaux avant de les rediriger vers des comptes d’abonnés sous leur contrôle. Le groupe retire l’argent volé en espèces via un vaste réseau de guichets automatiques pendant les vacances ou les week-ends pour éviter d’être détecté.
Les chercheurs de Symantec ont également découvert des liens entre OPERA1ER et un groupe de cybercriminels qu’ils traquent sous le nom de Bluebottle qui a utilisé un pilote Windows signé dans des attaques contre au moins trois banques dans des pays africains francophones.
« Toute tentative d’enquêter sur un acteur de menace sophistiqué tel qu’OPERA1ER, qui a volé des millions de sociétés de services financiers et de fournisseurs de télécommunications à travers le monde, nécessite un effort hautement coordonné entre les organismes des secteurs public et privé », a déclaré le PDG de Group-IB, Dmitry Volkov.
« Le succès de l’opération Nervone illustre l’importance de l’échange de données sur les menaces, et grâce à notre collaboration avec INTERPOL, Orange-CERT-CC et des partenaires des secteurs privé et public, nous avons pu collectivement reconstituer l’ensemble du puzzle. »