Cybercriminalité : OPERA1ER a volé environ 11 millions de dollars au Gabon et dans 14 autres Etats

Un groupe de pirates informatiques, «OPERA1ER», a volé entre 2018 et 2022 environ 11 millions de dollars à des entreprises de plusieurs pays africains, dont le Gabon, et dans d’autres pays à travers le monde, à l’instar de l’Argentine, du Bangladesh et du Paraguay. Le groupe est accusé d’avoir  «joué à Dieu sans permission».

Le groupe de pirates informatiques, «OPERA1ER», a volé entre 2018 et 2022 environ 11 millions de dollars à des entreprises au Gabon, au Nigeria, au Bénin, au Cameroun, et dans 8 autres pays africains, en Argentine, au Bangladesh et au Paraguay. © D.R.

Le group-IB, leader mondial de la cybersécurité basé à Singapour, vient de dévoiler son nouveau rapport : «OPERA1ER. Jouer à Dieu sans autorisation», en collaboration avec les chercheurs du CERT Orange. Le rapport se penche sur les agissements d’OPERA1ER, un réseau de hackers francophones aux motivations financières, pour en explorer en détail les offensives.

Selon les conclusions du rapport, le gang, équipé seulement d’outils «prêts à l’emploi», a réussi plus de 30 attaques visant des banques, des établissements de services financiers et des opérateurs de télécommunications principalement basés en Afrique entre 2018 et 2022. Le montant des gains d’OPERA1ER est confirmé à 11 millions de dollars au moins, d’après les estimations de Group-IB. Durant cette période, les chercheurs de l’unité European Threat Intelligence de Group-IB ont identifié et contacté 16 organisations touchées pour les aider à contenir la menace et à prévenir les futures attaques d’OPERA1ER.

Les attaques visaient principalement des pays francophones, dont la Côte d’Ivoire, le Mali, le Burkina Faso, le Bénin, le Cameroun, le Gabon, le Niger, le Nigéria, le Sénégal, la Sierra Leone, le Togo et, en Afrique de l’Est, l’Ouganda. Hors du continent, l’Argentine, le Bangladesh et le Paraguay ont également été victimes de l’attaque. La plupart des victimes identifiées ont fait l’objet de deux attaques réussies, et leur infrastructure a ensuite servi de pivot pour s’en prendre à d’autres organisations.

L’attaquant francophone portait le nom de code OPERA1ER, mais utilisait également d’autres noms tels que les noms DESKTOP-group et Common Raven. Le groupe, qui comprend un nombre inconnu d’attaquants, remonte à 2016 lorsqu’il a enregistré son premier domaine. Contrairement à la plupart des hackers modernes, OPERA1ER s’appuyait sur des outils prêts à l’emploi bien connus. Le gang a réussi à mener plus de 30 attaques réussies contre diverses institutions.

«Une analyse détaillée des dernières attaques du gang révèle un mode opératoire intéressant, puisqu’OPERA1ER attend généralement les week-ends et jours fériés pour lancer ses attaques», déclare le directeur de la recherche en cybersécurité chez Group-IB Europe, Rustam Mirkasymov. «Cette observation concorde avec le fait qu’il se passe entre trois et douze mois entre l’accès initial et le vol d’argent. Il a été établi que ce groupe de hackers opérait probablement depuis l’Afrique. Nous ne connaissons pas le nombre exact de membres au sein du groupe.»

Selon le Group-IB, ses hackeurs se distinguent notamment par l’utilisation de programmes open source et prêts à l’emploi, de malwares en circulation libre sur le dark web ainsi que de frameworks de Red Teaming tels que Metasploit et Cobalt Strike. Au cours de deux incidents au moins, survenus dans différentes banques, les attaquants ont déployé le serveur Metasploit à l’intérieur de l’infrastructure compromise.