Planète Warez

En bref :
(Résumé généré automatiquement par IA)

– Pendant que Xi Jinping souriait aux diplomates arabes, ses hackers lisaient déjà leurs emails secrets en temps réel.

– Ce groupe chinois fantôme a espionné vos gouvernements pendant 3 ans sans que personne ne s’en aperçoive.

– L’Union Africaine découvre des micros cachés dans ses murs après 5 ans de surveillance nocturne par la Chine.

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

– Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China

https://korben.info/phantom-taurus-espionnage-chinois-gouvernements.html

En bref :

– Guccifer 2.0, prétendant être un hacker roumain, a revendiqué le piratage du Comité national démocrate (DNC) en 2016. Cependant, il a été révélé que l’attaque provenait en réalité du GRU russe, une unité de renseignement militaire.

– L’attaque a été facilitée par une erreur humaine : un technicien de la campagne d’Hillary Clinton a mal interprété un email de phishing, permettant ainsi aux hackers d’obtenir un accès non autorisé aux systèmes du DNC.

– L’affaire a mis en lumière les vulnérabilités des campagnes politiques face aux cyberattaques et a souligné l’importance de la cybersécurité dans les processus démocratiques.

Vous croyez qu’un agent secret russe du GRU peut oublier d’allumer son VPN comme votre grand-père oublie ses lunettes ? Bah oui, ça peut arriver et c’est exactement comme ça qu’on a chopé Guccifer 2.0. Une seule fois, un seul petit oubli, et voilà… adresse IP tracée direct au siège du renseignement militaire russe sur Grizodubovoy Street à Moscou. Pas très discret pour un espion censé manipuler une élection présidentielle américaine…

L’histoire de Guccifer 2.0, c’est un mélange fascinant entre James Bond et Mr. Bean. D’un côté, on a une opération de cyberespionnage d’une sophistication redoutable orchestrée par deux unités d’élite du GRU qui a réussi à pirater le Comité national démocrate américain et à exfiltrer plus de 70 Go de données. Et de l’autre, une succession de bourdes techniques tellement grossières qu’on se demande comment ces gars-là ont eu leur diplôme d’espion.

Bref, toute cette histoire est un bon gros délire, vous allez voir.

Commençons par le commencement. En 2013, un hacker roumain du nom de Marcel Lehel Lazar s’était fait une petite réputation sous le pseudonyme de “Guccifer”. Ce chauffeur de taxi au chômage de 40 ans avait réussi à pirater les comptes emails de célébrités et d’hommes politiques américains, dont Sidney Blumenthal, un conseiller d’Hillary Clinton.

Sa technique ? Rien de très sophistiqué… il trouvait des infos personnelles sur ses cibles sur Facebook et devinait leurs questions de sécurité. Basique mais efficace. Il avait même publié des autoportraits de George W. Bush pris sous la douche, c’est dire !

Alors quand le 15 juin 2016, quelques heures seulement après que le Washington Post révèle que des hackers russes avaient infiltré le DNC, un nouveau personnage débarque sur WordPress.com en se faisant appeler “Guccifer 2.0”. Notre mystérieux Guccifer 2.0 sort de nulle part pour revendiquer le hack. “Non non, c’est pas les Russes, c’est moi, un hacker roumain solitaire qui veut dénoncer l’Illuminati !”

Sympa l’hommage au Guccifer original, mais il y avait juste un petit problème : Marcel Lazar était en taule fédérale aux États-Unis à ce moment-là, condamné à 52 mois de prison. Dur de pirater quoi que ce soit depuis sa cellule. Mais bon, les détails, hein. Et puis franchement, le timing était trop parfait… quelques heures après l’article du Washington Post ? Sérieusement ?

– L’email de phishing reçu par John Podesta

L’affaire commence donc vraiment le 19 mars 2016 quand John Podesta, le directeur de campagne d’Hillary Clinton, reçoit un email qui ressemble à une alerte de sécurité Google. Vous savez, le genre de truc qu’on reçoit tous et qu’on ignore généralement. L’email avait pour objet “Someone has your password” et prétendait qu’une tentative de connexion avait eu lieu depuis l’Ukraine. Sauf que cette fois, c’était du spear-phishing de compétition, orchestré par l’unité 74455 du GRU russe (aussi connue sous le nom de Main Center for Special Technology).

Et là, c’est le drame. L’assistant de Podesta transfère l’email au support IT de la campagne. Un technicien répond avec une faute de frappe monumentale : au lieu d’écrire “This is an illegitimate email”, il tape “This is a legitimate email”. Oups ! L’assistant de Podesta, suivant les instructions, clique sur le lien malveillant via Bitly et saisit les identifiants. Et c’est terminé ! Le lien a même été cliqué deux fois. Les Russes venaient de s’offrir un accès VIP aux coulisses de la campagne Clinton.

Pendant ce temps, deux groupes de hackers russes, surnommés “Fancy Bear” (APT28, unité 26165 du GRU) et “Cozy Bear” (APT29, probablement le SVR) par les experts en cybersécurité, s’amusaient déjà dans les serveurs du DNC depuis 2015. L’unité 26165, basée au 20 Komsomolskiy Prospekt à Moscou et dirigée par Viktor Netyksho, s’était même payé le luxe d’installer des keyloggers et de prendre des captures d’écran des ordinateurs des employés. Au total, ils ont exfiltré plus de 70 Go de données du DNC et 300 Go des serveurs de la campagne Clinton. Y’a pas à dire, ils sont forts chez les Russes !

– Les locaux du GRU à Moscou

Mais voilà, pirater c’est bien, mais il faut aussi savoir valoriser sa marchandise. Et c’est là qu’intervient notre star, Guccifer 2.0, géré par l’unité 74455 basée au 22 Kirova Street à Khimki (dans un bâtiment que les agents du GRU appellent “la Tour”) et dirigée par Aleksandr Osadchuk.

Le 15 juin 2016, Guccifer 2.0 fait donc son grand débarquement avec un post de blog sur WordPress dans lequel il se présente comme un hacker roumain patriote qui a agi seul pour “exposer la corruption”. Il balance même quelques documents du DNC pour prouver sa bonne foi, dont un dossier d’opposition research de 200 pages sur Donald Trump qu’il envoie à Gawker et The Smoking Gun.

– Le message de Guccifer 2 sur son Wordpress

Le problème, c’est que personne n’y croit. Déjà, le timing est trop parfait, et puis surtout, quand les journalistes de Motherboard commencent à creuser, ça sent le roussi à plein nez.

L’interview qui a tout fait capoter, c’est celle de Lorenzo Franceschi-Bicchierai en juin 2016. Le journaliste demande à Guccifer 2.0 de répondre en roumain, histoire de vérifier ses origines. Et là, c’est la catastrophe totale ! Notre prétendu Roumain sort un charabia qui ressemble plus à du Google Translate qu’à du roumain natif. Il utilise des mots comme “filigran” pour “watermark”, une traduction littérale que seul un non-Roumain utiliserait. Les vrais Roumains disent “filigram” !

Pire encore, après quelques échanges laborieux où il écrit des trucs du genre “Îmi pare rău” (désolé) avec une grammaire bancale, Guccifer 2.0 refuse de continuer en roumain sous prétexte qu’il ne veut pas “perdre son temps”. Vraiment très convaincant pour quelqu’un qui prétend être né à Bucarest.

Mais les vrais clous du cercueil, ce sont les détails techniques. Parce que nos espions russes, aussi doués soient-ils pour pirater des serveurs, ont visiblement séché les cours de nettoyage de métadonnées.

– Premier indice : Les documents publiés par Guccifer 2.0 contenaient des métadonnées en cyrillique, notamment un utilisateur nommé “Феликс Эдмундович” (Felix Edmundovich en alphabet russe). Pour ceux qui ne captent pas la référence, Felix Edmundovich Dzerzhinsky, c’est le fondateur de la Tcheka en 1917, c’est à dire l’ancêtre du KGB. Autant signer ses documents “Agent 007” directement. Le plus beau là-dedans, c’est qu’un autre document avait aussi “Che Guevara” dans les métadonnées… ils sont forts pour la discrétion !

– Deuxième indice : Les liens cassés dans les documents généraient des messages d’erreur… en russe. Les documents montraient clairement qu’ils avaient été édités sur une version russe de Microsoft Word. Quelle coïncidence troublante pour un hacker roumain ! Des messages comme “Ошибка! Недопустимый объект гиперссылки” (Erreur ! Objet de lien hypertexte invalide) apparaissaient dans les docs.

– Troisième indice : L’analyse linguistique de Shlomo Engelson-Argamon de l’Illinois Institute of Technology a montré que Guccifer 2.0 était “très probablement un Russe prétendant être Roumain” car son anglais présentait des structures syntaxiques typiquement russes, sans les articles définis et indéfinis qu’un Roumain natif utiliserait naturellement. Par exemple, il écrivait “I hacked server” au lieu de “I hacked the server”.

Mais la gaffe monumentale, celle qui a permis aux enquêteurs américains d’identifier précisément qui se cachait derrière Guccifer 2.0, c’est l’oubli du VPN. Un jour de mars 2018, probablement pressé ou distrait (ou après une vodka de trop ?), l’agent du GRU a oublié d’activer son client VPN avant de se connecter à un réseau social américain.

Résultat, une adresse IP bien réelle, tracée directement au quartier général du GRU sur Grizodubovoy Street à Moscou. Les enquêteurs américains ont pu alors identifier un officier particulier du GRU travaillant depuis le siège de l’agence. D’après les sources, l’IP provenait d’un bâtiment du GRU situé dans le district de Khoroshevsky à Moscou.

C’est ce genre d’erreur qui vous fait passer de “super-espion international” à “stagiaire qui a foiré son stage” en une fraction de seconde. J’imagine pas la tête du chef quand il a appris ça au briefing du matin. “Alors, Dimitri, tu peux m’expliquer comment tu as oublié le VPN ?” Bref, du grand art !

– L’emblème du GRU

L’histoire devient encore plus croustillante quand on découvre les liens entre Guccifer 2.0, WikiLeaks et Roger Stone, le conseiller de Trump aux tatouages de Nixon dans le dos. Le 22 juin 2016, WikiLeaks contacte directement Guccifer 2.0 sur Twitter :

Salut ! Vous pourriez nous envoyer tout nouveau document ici pour un impact plus important que ce que vous pourriez avoir. Plus de gens vous suivront.

Et effectivement, le 18 juillet, WikiLeaks confirme avoir reçu “les archives d’environ 1 Go” et annonce qu’ils vont tout publier cette semaine-là. Le 22 juillet 2016, pile avant la Convention nationale démocrate, WikiLeaks balance alros près de 20 000 emails du DNC. Timing parfait, encore une fois !

Côté Roger Stone, l’histoire est encore plus dingue car entre août et septembre 2016, Stone et Guccifer 2.0 échangent plusieurs messages privés sur Twitter. Le 15 août, Guccifer 2.0 demande :

do you find anything interesting in the docs i posted?

puis le 17 août :

please tell me if i can help u anyhow.

Stone leur envoie même un article qu’il a écrit sur la manipulation des machines à voter.

Puis le 21 août 2016, Stone tweete :

Trust me, it will soon be Podesta’s time in the barrel
(Croyez-moi, ce sera bientôt le tour de Podesta d’être dans le pétrin).

Le problème, c’est qu’à cette date, personne ne savait publiquement que les emails de Podesta avaient été piratés. WikiLeaks ne les publiera qu’en octobre. Donc soit Stone est voyant, soit il était au courant de quelque chose.

Stone prétendra plus tard qu’il parlait d’un article à venir sur les liens entre John et Tony Podesta. Il niera d’abord tout contact avec Guccifer 2.0, puis qualifiera les échanges de “parfaitement anodins” quand The Smoking Gun les publiera en mars 2017. Il dira même que ses déclarations sur Julian Assange étaient “une blague” pour raccrocher au nez de Sam Nunberg. Ouin !

– Robert Mueller, procureur spécial qui a mené l’enquête sur l’ingérence russe

L’enquête de Robert Mueller a alors fini par démanteler toute l’opération et le 13 juillet 2018, le Département de la Justice américain inculpe 12 officiers du renseignement militaire russe et révèle officiellement que Guccifer 2.0 était une identité utilisée par le GRU. C’est pourquoi on peut maintenant raconter toute cette histoire avec certitude.

– Les 12 agents appartenaient à deux unités distinctes :

L’unité 26165 (Fancy Bear/APT28) : spécialisée dans l’infiltration et le vol de données, basée au 20 Komsomolskiy Prospekt, dirigée par Viktor Netyksho L’unité 74455 : chargée de la diffusion et de la manipulation des informations volées via DCLeaks et Guccifer 2.0, basée dans “la Tour” au 22 Kirova Street à Khimki, dirigée par Aleksandr Osadchuk

L’acte d’accusation détaille tout : les techniques de spear-phishing utilisées, les serveurs loués en Malaisie et en Illinois, les bitcoins minés pour payer l’infrastructure (ils avaient même une opération de minage !), et même les noms de code des opérations. L’unité 74455 avait aussi piraté les systèmes électoraux de l’Illinois, volant les données de 500 000 électeurs incluant noms, adresses, numéros de sécurité sociale partiels et permis de conduire. D’après les enquêteurs américains, c’est du travail d’orfèvre.

Selon les sources proches de l’enquête, au moins deux personnes se cachaient derrière l’identité Guccifer 2.0. Après un début chaotique avec le fameux “Roumain” qui ne parlait pas roumain, l’opération a été confiée à un officier du GRU plus expérimenté. D’ailleurs, les derniers posts de Guccifer 2.0 en janvier 2017 montrent une maîtrise de l’anglais bien supérieure aux premiers. Comme si quelqu’un avait dit “Ok, on arrête les conneries, je reprends le dossier”.

L’affaire Guccifer 2.0 a vraiment marqué un tournant dans la guerre informatique moderne car pour la première fois, une opération d’influence cyber de cette ampleur était documentée dans ses moindres détails, avec noms, prénoms, adresses et même les heures de connexion des responsables. Les métadonnées, c’est vraiment la plaie des espions modernes !

L’impact sur l’élection de 2016 est très difficile à quantifier, mais les 58 000 emails de Podesta publiés par WikiLeaks entre octobre et novembre 2016 ont indéniablement nui à la campagne Clinton. Ils révélaient des détails embarrassants sur les coulisses de la campagne, les discours payés à Wall Street (225 000$ chez Goldman Sachs !), et même le fait que Donna Brazile de CNN avait transmis les questions de débat à l’avance.

Et côté relations internationales, l’affaire a entraîné l’expulsion de 35 diplomates russes en décembre 2016, de nouvelles sanctions économiques, et la fermeture de deux complexes diplomatiques russes aux États-Unis. Elle a aussi poussé les pays occidentaux à repenser leur approche de la cybersécurité et de la désinformation. L’OTAN a également créé un centre d’excellence en cyberdéfense à Tallinn, et l’UE a mis en place une task force contre la désinformation russe.

– Au final, Guccifer 2.0 restera comme un cas d’école de ce qu’il ne faut pas faire en matière de sécurité opérationnelle. Malgré des moyens considérables et une planification sophistiquée, l’opération a échoué à maintenir sa couverture à cause d’erreurs basiques :

Oubli d’activation du VPN (la bourde ultime qui leur a coûté toute l’opération) Métadonnées compromettantes non nettoyées (Felix Edmundovich, vraiment ?) Couverture linguistique insuffisamment préparée (un Roumain qui ne parle pas roumain…) Références culturelles trop évidentes (nommer ses fichiers d’après le fondateur de la police secrète soviétique, subtil !) Timing trop parfait pour être crédible (quelques heures après l’article du Washington Post ? Allô ?) Utilisation de la même infrastructure que d’autres opérations du GRU (réutilisation des serveurs et des comptes Bitcoin)

Certains experts suggèrent que les métadonnées russes étaient peut-être volontairement laissées, soit comme false flag, soit par arrogance ("on s’en fout, ils ne peuvent rien nous faire"). Mais l’oubli du VPN, ça, c’était clairement pas prévu. Comme quoi, même les meilleurs font des boulettes, et dans le cyberespace, une seule erreur peut tout faire capoter.

Bref, avant de publier des documents volés en vous faisant passer pour un hacker roumain, apprenez le roumain, nettoyez vos métadonnées, et surtout, SURTOUT, n’oubliez pas votre VPN. Sinon vous finirez comme Guccifer 2.0, une légende du fail !

– Sources : Department of Justice - Indictment of 12 Russian GRU Officers (2018), The Daily Beast - Guccifer 2.0 IP Address Revelation, Motherboard - Guccifer 2.0 Romanian Interview, Washington Post - How Russians Hacked the DNC, CBS News - The Podesta Phishing Email, Wikipedia - Guccifer 2.0

https://korben.info/guccifer-2-agent-russe-oubli-vpn.html

et oui les usa commencent un peu tard à se rendre compte que la Chine va leur défoncer le fiak

genre les Russes ca les dérangent d’utiliser un Windows cracker ou non officiel