Désinformation
Cybercriminalité

L’Empire contre-attaque : un nouvel AS pour Doppelgänger

Meunier Anais
Analyste - OWN-CERT
Nos analystes du OWN-CERT ont pu observer des publications coordonnées inauthentiques (CIB) sur X, liées au mode opératoire d’attaque (MOA) Doppelgänger.OWN Security

Durant l'intégralité des Jeux Olympique et Paralympique de Paris 2024 (JOP2024), Visibrain, plateforme de veille, et OWN s'associent. C'est dans le cadre de cette collaboration que nos analystes ont pu observer des publications coordonnées inauthentiques (CIB) sur X, liées au mode opératoire d’attaque (MOA) Doppelgänger.

Ces observations sont liées à la persistance de ce MOA qui, depuis 2022, impose sa présence sur les réseaux sociaux en adaptant ses tactiques, techniques et procédures (TTPs). Le mode opératoire observé ici est celui décrit par Sekoia.io dans son rapport "Master of Puppets" et par Alethea dans "Writing with Invisible Ink". Son étude a permis de mettre en lumière de nouveaux éléments techniques

Adaptation du mode opératoire

Les acteurs de la désinformation généralement attribués à la Russie comme Doppelgänger, se caractérisent par leur persistance et leur capacité à se renouveler, à tester de nouvelles techniques, tactiques et procédures (TTPs).  

S’agissant spécifiquement de Doppelgänger, celui-ci est actif depuis 2022 et a été documenté aussi bien par Meta, EuDisinfolab que Viginum. 

Les analystes, observateurs et chercheurs ayant étudié le sujet ont noté l’utilisation d’une nouvelle technique, notamment sur X. Des comptes de bots diffusent des articles de propagande contre le soutien européen et américain à l’Ukraine. D'autres comptes de bots copient et collent ces tweets (avec l’URL de l’article) en réponse à des utilisateurs légitimes. Cette technique de copier-coller de contenu dans les réponses permet d’échapper à la détection. L’utilisation de résolveurs d’URL avec des adresses jetables et générées automatiquement est une autre TTP (Technique, Tactique et Procédure) d’obfuscation, démontrant une adaptation du mode opératoire pour persister sur les réseaux et éviter la détection.

Extrait de Writing with Invisible Ink, p. 11

Les données observées ici correspondent aux liens publiés par ces « Poster accounts », disparus aujourd’hui de X. Ces publications ont été reprises en réponse à des posts 564 fois, sans que l’on puisse remonter aux comptes qui les ont publiées.

Extrait de données X observées sur Visibrain entre le 17 et le 23 juin.

L’évanescence de ces comptes, et l’utilisation de domaines jetables complique la détection et la capitalisation des données sur ce MOA.

Un AS particulier

Cependant, cette investigation a permis de faire remonter une nouvelle information : l'emploi d'un AS particulier : EVIL EMPIRE.

Un système autonome (AS, Autonomous System) est un réseau ou un groupe de réseaux IP qui est géré par une seule entité (comme un fournisseur d'accès Internet, une entreprise ou une université) et qui partage une politique de routage commune. Chaque AS est identifié par un numéro unique, appelé numéro de système autonome (ASN), qui est utilisé pour les échanges de données avec d'autres systèmes autonomes sur Internet. Les AS sont essentiels pour le routage et l'échange de données sur le réseau global de l'Internet.

Cet AS appartient à la société TNSecurity, enregistrée le 9 décembre 2023, et dirigée par Anastasia REDACTED, une jeune femme Lettone avec un nom à consonance russe et âgée de 19 ans. L’âge de la directrice de cet AS, le manque d’information sur la société, ainsi que le type d’URL que celle-ci héberge sur son AS indiqueraient un montage typique d’une société écran, utilisé par les Bullet Proof Hoster (BPH). La jeune femme étant certainement un prête nom.

Capture d’écran des informations de la société TNSecurity, propriétaire de l’AS EvilEmpire

Parmi les très nombreuses IP liées à l’AS EVIL Empire nous observons des codes malveillants comme Amadey, un botnet permettant de délivrer d’autres charges supplémentaires sur la machine infectée. Ceci semble confirmer l’hypothèse qu’il s’agit probablement d’un AS controlé par un Bullet Proof Hoster.

Ce BPH supposé héberge également les nombreux domaines jetables qui redirigeaient vers des sites de presse typosquattés (cf illustration), déjà visés par le MOA Doppelgänger, comme Der Spiegel ou bien encore Fox News.

Capture d’écran d’URLScan présentant les URL hébergées par Evil Empire

Sur un échantillon de 234 domaines, extraits le 02 juillet dernier et hébergés par l’ AS Evil Empire, le OWN-CERT a pu ainsi identifier 19 domaines semblant appartenir à l’infrastructure exploitée par Doppelgänger. Les liens archivés dans URLSCAN permettent de mettre en lumière la diversité des pays visés puisque l’on observe aussi bien des articles en italien, en allemand qu’en hébreu.

En effet, ce MOA rebondit sur l’actualité et s’appuie sur toutes les crises pour distiller ses narratifs.

Captures d’écran d’URL Scan présentant des URL hébergées par Evil Empire en italien et en allemand. On peut noter le nom du site Psyop (opérations psychologiques) qui ne manque pas d’ironie).
Capture d’écran d’URLSCAN présentant une page internet d’un site en hébreu Omnam[.]life, toujours disponible à ce jour - hébergeant un article intitulé : «Les États-Unis ont peur du Hezbollah».

Le même mode opératoire est reproduit à chaque fois, à savoir une triple redirection d’un domaine jetable vers un domaine de redirection, puis URL de l’article.

Dans ce corpus étudié, un de ces domaines de redirection apparaît de manière récurrent : « davetn.top ». L’étude de celui-ci permet de mettre en lumière une des infrastructure d’articles exploitées par Doppelgänger créant des liens pages de sites typosquattés (ici, le Washington Post, périmée depuis).

Le MOA Doppelgänger est particulièrement persistant, et, comme l’Hydre de Lerne, lorsqu’on lui coupe une tête, il semble en repousser deux. Cependant, à force de le débâtir, nous finirons bien par en couper la dernière.

Enfin, s'il est important de démonter les processus de manipulation de l'information par la Russie, il est tout aussi nécessaire de nuancer leur impact véritable. Il s’agit avant tout dene pas alimenter des « paniques morales » tout en n’écartant pas la portée réelle et concrète des attaques cyber.

Références 

Alethea.« Writing with Invisible Ink », 27 mars 2024. https://ink-alethea.s3.us-east-2.amazonaws.com/Alethea-Writing-With-Invisible-Ink.pdf

Meta. « DRAFT: Adversarial Threat Report. Second Quarter ». Meta, août2023. https://www.politico.eu/wp-content/uploads/2023/08/29/NEAR-FINAL-DRAFT-Meta-Quarterly-Adversarial-Threat-Report-Q2-2023.pdf.

Sekoia TDR, Coline Chavane, Amaury G, et Kilian Seznec. « Master of Puppets:Uncovering the DoppelGänger pro-Russian Influence Campaign ». Sekoia.Io Blog (blog), 21 mai 2024. https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign/.

Viginum. « RRN : une campagne numérique de manipulation de l’information complexe », 19 juin 2023. https://www.sgdsn.gouv.fr/files/files/20230619_NP_VIGINUM_RAPPORT-CAMPAGNE-RRN_VF.pdf.

 

 

Partager l'article :

Your OWN cyber expert.