Guerre en Ukraine : le collectif pro-russe Killnet s’associe à un infostealer

Actif depuis janvier 2022, Killnet est surtout connu pour ses cyberattaques en déni de service distribué (DDoS). Mi-février, il s’est encore attaqué ainsi à plusieurs sites Web publics de l’OTAN. Mais le collectif d’hacktivistes, aligné sur Moscou depuis le début de l’invasion de l’Ukraine, fin février 2022, pourrait bien prochainement devenir sensiblement plus menaçant.

De fait, le groupe vient d’annoncer, par la voix de son leader, KillMilk, avoir été rejoint par « une communauté de professionnels » liés à Titan Stealer. Celui qui se présente comme le développeur de ce logiciel dérobeur – et même de 5 d’entre eux au total – en a profité pour offrir un mois d’abonnement gratuit à tout souscripteur existant de son dérobeur en mode service. 

Will Thomas, chercheur en renseignement sur les menaces chez Equinix, a été le premier à évoquer publiquement Titan Stealer, à l’automne dernier. 

Le moteur de recherche spécialisé Shodan trouve 10 instances de l’interface Web d’administration de Titan Stealer. Onyphe en trouve 12 depuis la fin mars. La première détection d’une telle instance remonte au 22 novembre dernier. 

Open Analysis a publié, début décembre, un début d’analyse de Titan Stealer se concentrant sur la recherche d’adresses IP de serveurs de commande et de contrôle (C2). Il faudra attendre fin janvier pour qu’Uptycs et Cyble se penchent à leur tour sur cet infostealer écrit en GoLang. Toutefois, Cyble avait repéré une campagne de malvertising distribuant Titan Stealer, fin décembre.

Si la version 1.1 de Titan Stealer a été annoncée par son créateur le 27 février, le canal Telegram qu’il utilise a été créé le 29 juin 2021. La version 1.5 du maliciel dérobeur a été annoncée le 9 mars, ainsi que les évolutions fonctionnelles à attendre de la future version 1.6.

L’accès à Titan Stealer pourrait donner à Killnet les moyens de se lancer dans un nouveau type d’attaques basées sur l’intrusion dans des systèmes d’information. Les infostealers jouent d’ailleurs un rôle pivot dans l’écosystème des rançongiciels. 

Et justement, dans son rapport sur l’activité cybercriminelle de 2022, Cisco Talos indique que Killnet aurait cherché à s’attirer le soutien de gangs de ransomware, souhaitant pouvoir s’appuyer sur eux pour conduire des cyberattaques en profondeur, plus destructrices que le simple DDoS.  

De son côté, Thales indique que Killnet s’est lancé dans les intrusions en juillet 2022 et a même ouvert un site dédié à la divulgation de données volées lors de ces attaques. Des opérations décrites comme « nombreuses depuis la fin 2022 » et dont « le nombre devrait croître » cette année. Avec Titan Stealer, le groupe pourrait effectivement en avoir les moyens. 

Cette nouvelle pourrait raviver les inquiétudes des RSSI de groupes plus ou moins stratégiques, ainsi que ceux de leurs partenaires et fournisseurs : selon le Cert national ukrainien, Killnet travaille avec le tristement célèbre Sandworm. 

Aussi appelé Iridium par Microsoft, ce groupe a notamment lancé des cyberattaques avec rançongiciel contre des organisations en Ukraine et en Pologne à l’automne dernier.