DarkComet

Informations
Créateur	Jean-Pierre Lesueur
Première version	2008
Dernière version	5.3.1 (2012)
État du projet	abandonné
Écrit en	Delphi / Assembleur x86-32
Système d'exploitation	Microsoft Windows
Environnement	Windows
Type	Outil d'administration à distance, Cheval de Troie (informatique)
Politique de distribution	gratuit
Licence	Gratuiciel
Site web	http://www.darkcomet-rat.com/

DarkComet était un outil d'administration à distance (Un type de logiciel connu sous son abréviation anglaise RAT) développé par Jean-Pierre Lesueur, un programmeur français indépendant. Bien que ce logiciel ait été développé en 2008, il a commencé à proliférer au début de l'année 2012. Le logiciel fut annulé, partiellement à cause de son utilisation pendant la guerre civile syrienne pour surveiller des activistes, mais aussi car son créateur avait peur qu'il soit arrêté, même s'il n'a pas spécifié la raison^[1].

DarkComet permet aux utilisateurs de contrôler l'ordinateur sur lequel il est installé en utilisant une interface graphique. Il possède beaucoup de fonctions qui permettent aux utilisateurs de l'utiliser comme un outil légitime pour administrer à distance leurs propres ordinateurs. Cependant, certaines peuvent être utilisés avec malveillance. DarkComet est quelquefois utilisé pour surveiller des victimes en enregistrant des frappes ou pour voler leurs mots de passe.

Histoires autour de DarkComet

En Syrie

En 2014, DarkComet fut relié à la guerre civile syrienne. Des activistes en Syrie utilisaient des connexions chiffrées pour contourner la surveillance et la censure de l'internet. Donc, le gouvernement syrien commença à utiliser des logiciels espions pour surveiller ses citoyens, ce qui, selon de la spéculation, aurait causé l'arrestation de beaucoup d'activistes en Syrie^[1].

Le « RAT » fut distribué avec un « message de tchat sur Skype » avec une icône de Facebook qui était, en réalité, un fichier exécutable qui avait été conçu pour installer DarkComet^[2]. Une fois infecté, l'ordinateur de la victime essayerait d'envoyer le message aux autres.

Une fois que DarkComet fut relié au régime de Bachar el-Assad, Lesueur a arrêté le développement de l'outil^[1].

Des joueurs de jeu vidéo, des armées, et des gouvernements visés

En 2012, la société Arbor Network a trouvé une indication que des hackers provenant d'Afrique utilisaient DarkComet pour viser des cibles militaires et des joueurs de jeu vidéo. À l'époque, ils visaient principalement les États-Unis^[3].

Piratage de Miss Teen USA

En 2014, Jared James Abrahams, un étudiant californien en informatique, a été condamné à 18 mois de prison à la suite de son arrestation par le FBI pour avoir piraté les ordinateurs de plusieurs femmes, dont Miss Teen USA 2013, Cassidy Wolf, dans le cadre d'une campagne de "sextorsion". Utilisant DarkComet, il a obtenu des photos intimes de ses victimes et les a menacées de diffuser ces images si elles ne se soumettaient pas à ses demandes. Abrahams a plaidé coupable de piratage informatique et d'extorsion. Cette affaire a souligné l'importance de la sécurité numérique, y compris la pratique recommandée de couvrir les webcams lorsqu'elles ne sont pas en usage^[4].

Kevin Mitnick

Comme rapporté par un article de Wired^[5], le célèbre hacker Kevin Mitnick a régulièrement utilisé DarkComet, notamment pour des démonstrations au cours de ses conférences. En 2015, il a effectué une démonstration publique de ce logiciel lors du CeBIT 2015^[6].

Je Suis Charlie

À la suite de l'attentat contre Charlie Hebdo à Paris, des hackers utilisaient le slogan «#JeSuisCharlie» pour tromper des gens et les amener à télécharger DarkComet. DarkComet était inséré dans l'image d'un enfant dont le bracelet était marqué des mots « Je suis Charlie. » Une fois l'image téléchargée, l'ordinateur devient infecté^[7].

Arrestation d'un Ukrainien

En 2018, la police ukrainienne a arrêté un homme de 42 ans, suspecté d'avoir utilisé DarkComet pour infecter plus de 2 000 utilisateurs dans au moins 50 pays. Il est également accusé d'avoir volé une quantité importante de fichiers à ses victimes, ainsi que d'avoir obtenu des images par la capture d'écran et l'activation à distance de webcams. Les détails sur la manière dont la police a réussi à traquer cet individu n'ont pas été divulgués. Toutefois, il est supposé que l'utilisation de Shodan, un moteur de recherche pour les appareils connectés à Internet, a joué un rôle clé dans l'enquête^[8].

Vault 7/8 (Umbrage)

WikiLeaks a révélé des documents de la CIA montrant que l'agence a étudié et utilisé des techniques de piratage avancées. L'équipe Umbrage de la CIA a collecté des techniques d'attaque provenant de logiciels malveillants développés par d'autres états, permettant à l'agence de diversifier ses méthodes d'attaque et de compliquer l'attribution des cyberattaques. DarkComet figure parmi les outils mentionnés dans les archives divulguées^[9].

APT36

L'APT36 liée au Pakistan, a exploité la pandémie de coronavirus pour diffuser des logiciels malveillants en se servant d'un faux conseil de santé comme leurre afin de voler des informations sensibles, principalement ciblant l'Inde dans le but de soutenir les intérêts militaires et diplomatiques du Pakistan. APT36 a utilisé divers outils d'administration à distance dans le passé, y compris DarkComet, pour compromettre les bases de données militaires et gouvernementales indiennes et voler des données personnelles et sensibles^[10].

ModifiedElephant

En 2021, un activiste indien emprisonné a été ciblé par un groupe de piratage lié à l'État, selon un rapport de SentinelOne. Ce groupe, connu pour implanter des preuves incriminantes sur les appareils des cibles, a utilisé des campagnes de hameçonnage et des logiciels malveillants comme NetWire et DarkComet pour obtenir un accès à distance et un contrôle des machines des victimes. Les activités de ce groupe sont soupçonnées d'être coordonnées avec les intérêts de sécurité nationale de l'Inde^[11].

Autres faits

DarkComet est connu pour être l'un des outils de piratage utilisés par l'APT nord-coréenne Groupe Lazarus (APT38)^[12]

Fonctionnalités Principales

La liste suivante des fonctionnalités n'est pas exhaustive mais regroupe les aspects critiques qui rendent DarkComet un outil dangereux. Nombre de ces fonctionnalités peuvent être utilisées pour prendre entièrement le contrôle d'un système et permettent au client d'avoir un accès complet:

Fonctions d'espionnage
- Capture de webcam
- Capture de son
- Bureau à distance
- Keylogger
- Mots de passes sauvegardés
- Capture du micro
Fonctions réseau
- Ports actifs
- Partages réseau
- Serveur Socks5
- Ordinateurs LAN
- Scanneur d'IP
- Téléchargement de fichier
- Navigation sur une page
- Redirection IP/Port
- Points d'accès WiFi
Gestion de l'alimentation de l'ordinateur
- Extinction
- Arrêt
- Redémarrage
- Déconnexion
Actions du serveur
- Verrouiller l'ordinateur
- Redémarrer le serveur
- Fermer le serveur
- Désinstaller le serveur
- Upload et exécution
Gestion système
- Gestionnaire de services
- Gestionnaire des processus
- Gestionnaire du démarrage
- Gestionnaire de fichiers
- Recherche de fichier
- Gestionnaire de fenêtre
- Gestionnaire de privilèges
Amusement
- Piano
- Boîte de message
- Lecteur Microsoft Speech
- Chat à distance

Références

↑ ^{a b c et d} (en) Robert McMillan, « How the Boy Next Door Accidentally Built a Syrian Spy Tool », sur Wired
↑ (en) « Spy code creator kills project after Syrian abuse », sur BBC, 10 juillet 2012
↑ (en) Curt Wilson, « Exterminating the RAT Part I: Dissecting Dark Comet Campaigns »
↑ (en) Cyrus Farivar, « Sextortionist who hacked Miss Teen USA’s computer sentenced to 18 months »
↑ Robert McMillan, « How the Boy Next Door Accidentally Built a Syrian Spy Tool »
↑ CeBIT, « Kevin Mitnick: Live Hack at CeBIT Global Conferences 2015 »
↑ Kate Vinton, « How Hackers Are Using #JeSuisCharlie To Spread Malware »
↑ Catalin Cimpanu, « Ukrainian police arrest hacker who infected over 2,000 users with DarkComet RAT »
↑ Pierluigi Paganini, « WikiLeaks Vault 7 Data Leak: Another Earthquake in the Intelligence Community »
↑ Lindsey O'Donnell, « APT36 Taps Coronavirus as ‘Golden Opportunity’ to Spread Crimson RAT »
↑ Emma Vail, « Jailed Indian activist was targeted by state-linked hacking group, report says »
↑ HHS, « North Korean Cyber Activity »

Liens externes

Site Web Officiel

[McMillan2012-1] {a b c et d} (en) Robert McMillan, « How the Boy Next Door Accidentally Built a Syrian Spy Tool », sur Wired

[2] (en) « Spy code creator kills project after Syrian abuse », sur BBC, 10 juillet 2012

[3] (en) Curt Wilson, « Exterminating the RAT Part I: Dissecting Dark Comet Campaigns »

[4] (en) Cyrus Farivar, « Sextortionist who hacked Miss Teen USA’s computer sentenced to 18 months »

[5] Robert McMillan, « How the Boy Next Door Accidentally Built a Syrian Spy Tool »

[6] CeBIT, « Kevin Mitnick: Live Hack at CeBIT Global Conferences 2015 »

[7] Kate Vinton, « How Hackers Are Using #JeSuisCharlie To Spread Malware »

[8] Catalin Cimpanu, « Ukrainian police arrest hacker who infected over 2,000 users with DarkComet RAT »

[9] Pierluigi Paganini, « WikiLeaks Vault 7 Data Leak: Another Earthquake in the Intelligence Community »

[10] Lindsey O'Donnell, « APT36 Taps Coronavirus as ‘Golden Opportunity’ to Spread Crimson RAT »

[11] Emma Vail, « Jailed Indian activist was targeted by state-linked hacking group, report says »

[12] HHS, « North Korean Cyber Activity »

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

v · m Outil d'administration à distance
Général	Bureau à distance Télémaintenance Téléassistance
Implémentations	Ammyy Admin AnyDesk (en) Apple Remote Desktop Assistance à distance Windows Bomgar (en) Chrome Remote Desktop Citrix Systems Commutateur écran-clavier-souris (KVM) DameWare Intelligent Platform Management Interface (IPMI) LogMeIn Remote Desktop Services (RDP) Scrcpy Secure Shell (dont OpenSSH) Splashtop SPICE (machines virtuelles) System Center Configuration Manager Telnet TeamViewer Universal Asynchronous Receiver Transmitter (UART, transmission série, tty) Virtual Network Computing (VNC, TightVNC, UltraVNC) Waypipe (pour Wayland) X11 (XDMCP, tunnel SSH)
Implémentations controversées	Back Orifice DarkComet SubSeven