En 2015, un torrent frappe l’univers de la cybersécurité lorsque Symantec annonce l’existence d’un nouveau groupe. Morpho représente tout ce que les entreprises craignent le plus, un expert en cyberespionnage. De plus, ses cibles ne sont pas n’importe lesquelles puisqu’il s’est déjà attaqué à des géants comme Facebook et Twitter.
Alors que les entreprises se livrent des batailles féroces dans un marché concurrentiel mondial, des groupes de cyberespionnage comme Morpho réussissent à profiter de la situation. En effet, l’information représente plus que jamais un capital critique et monnayable. Le groupe de hackers l’a bien compris en ciblant la propriété intellectuelle et les informations commerciales des multinationales. D’après Symantec, Morpho sévit depuis le début des années 2010 avant d’être découvert en 2015. Si les experts détiennent si peu d’informations sur ce groupe, c’est en raison de sa grande prudence. En effet, il efface toujours les traces de son passage avant de s’attaquer à une nouvelle cible.
Qui est Morpho, ce gang qui sévit depuis les années 2010 ?
Le monde de la cybersécurité lui prête bien des noms : Wild Neutron, Sphinx Moth ou encore Butterfly. Néanmoins, ce collectif de cyberespionnage se fait connaître grâce à ses attaques d’envergure ciblant des géants de la tech comme Apple, Microsoft ou encore Facebook. Cependant, ses cibles ne sont pas forcément des multinationales. Morpho s’attaque également à des éditeurs de logiciels, des entreprises juridiques, des laboratoires pharmaceutiques ou encore des fabricants de matières premières.
Le groupe sévit notamment en Amérique du Nord, les cibles sont majoritairement américaines et canadiennes. Néanmoins, d’autres se trouvent en Europe.
L’entreprise Symantec a révélé son existence en 2015, bien que ses activités remontent à 2012. D’après son rapport, les hackers de Morpho disposent des compétences techniques avancées. Le groupe représente surtout une menace pour les entreprises ayant à leur disposition des propriétés intellectuelles. Il vole ces informations et les revend ensuite à d’autres entreprises intéressées ou des États-nations.
Au moment de la publication du rapport, Symantec a recensé 49 organisations ciblées qui se trouvent dans une vingtaine de pays. Ses chercheurs imputent notamment au groupe le piratage de Twitter, Microsoft ou encore Facebook en 2013.
Les membres du groupe sont capables de pénétrer tous les systèmes, qu’il s’agisse d’Apple ou de Windows.
Pour obtenir autant d’informations sur le gang, Symantec l’a pisté avec l’aide de plusieurs victimes pendant deux ans. Toutefois, les chercheurs sont eux-mêmes surpris du peu de traces que ces hackers laissent derrière eux. Ils réussissent à passer inaperçus grâce à des technologies cryptées. Morpho s’appuie également sur des serveurs de commande en cascade pour brouiller les pistes. Le peu d’informations obtenues par Symantec permet néanmoins aux entreprises d’être sur leur garde. D’après l’éditeur, le gang possède une équipe limitée à une dizaine de personnes. Les analyses ont également démontré que ses membres sont anglophones.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Morpho est-il affilié à un État ?
Si l’on se fie uniquement aux cibles de Morpho, elles laissent croire à un groupe visant uniquement les entreprises occidentales. Pourtant, Symantec se montre prudent sur le sujet. L’éditeur estime même que Morpho n’est affilié à aucun État comme d’autres groupes tels que Turla ou Lazarus Group. Si l’on analyse bien les cibles, le gang ne fait pas de distinction entre les nationalités.
Plusieurs indices laissent quand même entrevoir que les pirates sont anglophones. En premier, les malwares sont codés dans un anglais courant. De plus, les clés de chiffrement s’inspirent fortement de la pop culture américaine et occidentale. Un autre indice pointe vers des hackers anglophones : leurs heures de travail qui coïncident avec les horaires aux États-Unis.
Cependant, cette information est à nuancer d’après les chercheurs. Cela peut s’expliquer par le simple fait que les cibles soient les plus actives à ces heures.
Morpho se distingue des autres groupes par ses étapes de reconnaissance en amont de l’attaque. Les hackers interceptent par exemple des e-mails des cadres dirigeants qui contiennent des documents juridiques ou autres dossiers sensibles. Ils ont également piraté un système de sécurité physique chez l’un de leurs cibles. Cela leur a permis de connaître les déplacements de chaque employé et des visiteurs au sein d’une entreprise.
Morpho : un mode opératoire sophistiqué ?
La propriété intellectuelle
Symantec met en garde les entreprises contre Morpho, notamment pour son habileté à exploiter les vulnérabilités « zero day ». Il s’agit d’une faille de sécurité, dont la cible n’a pas connaissance. Pourtant, de telles failles peuvent être bradées sur le dark web. Le prix dépend de l’ampleur des failles et des systèmes qu’elles exposent. D’autres groupes criminels ou des gouvernements étrangers sont prêts à débourser une somme à six chiffres pour les acheter.
D’autres experts que Symantec estiment néanmoins que Morpho a une taille limitée pour identifier des failles zero-day. D’après eux, il n’a pas les ressources nécessaires pour mener ce type d’attaque. Par contre, il peut, lui-même, acheter des failles zero-day sur le marché noir.
Morpho utilise aussi une autre forme d’attaque, celle par points d’eau. Cela consiste à compromettre le site web de la cible en y diffusant un exploit zero-day. Le groupe de hacker ne se limite pas à ces outils, il s’appuie sur des outils d’accès à distance personnalisés et l’installation de portes dérobées. Le point fort de Morpho reste néanmoins son habileté à effacer ses traces. Une fois les données volées en sa possession, il efface toutes traces de son passage dans les journaux d’évènements.
Ce nettoyage minutieux lui a permis de sévir en toute impunité à partir de 2011 avant d’être découvert par Symantec en 2015.
Si les autres groupes tentent de paralyser les activités de leurs cibles, Morpho se contente de leur voler des données sensibles, à savoir la propriété intellectuelle (PI) et les informations confidentielles des entreprises (BCI). Ceci prouve que le groupe est spécialisé dans le cyberespionnage.
La propriété intellectuelle
Elle désigne toutes les inventions et innovations (logos, images, codes sources, formules chimiques, etc.). Elle est considérée comme un actif chez une entreprise, au même titre que l’argent. Des entreprises investissent des sommes considérables dans la recherche et développement. La perte s’élève à des millions de dollars si des pirates volent leurs recherches. Une étude menée par le ministère américain du Commerce estime à environ 250 milliards de dollars la perte pour les entreprises américaines. Ce chiffre inclut tous les vols de propriété intellectuelle, même ceux qui ne relèvent pas de la cybercriminalité.
Ceci explique pourquoi Morpho cible spécialement des entreprises dans le secteur de la tech, pharmaceutique ou de la chimie.
Les informations commerciales confidentielles
Ces données sont aussi stratégiques pour les multinationales. Il peut s’agir de données d’investissements, d’accords commerciaux secrets, de stratégies opérationnelles, etc. Elles sont aussi précieuses que la propriété intellectuelle dans le cyberespionnage.
