Le groupe d’analyse des menaces (TAG) de Google a récemment publié un rapport sur l’activité croissante de piratage pour compte d’autrui. Contrairement aux logiciels malveillants en tant que service (MaaS), les entreprises de piratage contre rémunération mènent des attaques sophistiquées et pratiques. Ils ciblent un large éventail d’utilisateurs et exploitent des failles de sécurité connues lors de l’exécution de leurs campagnes.
“Nous avons vu des groupes de piratage contre rémunération cibler des défenseurs des droits de l’homme et des militants politiques, des journalistes et d’autres utilisateurs à haut risque dans le monde entier, mettant leur vie privée, leur sûreté et leur sécurité en danger”, TAG Google dit. “Ils pratiquent également l’espionnage d’entreprise, masquant facilement le rôle de leurs clients.”
Le niveau d’information détaillée auquel ces groupes ont accès est étonnant. Voici ce que les entreprises doivent savoir sur cette menace émergente pour la sécurité des données.
Hack-for-Hire pas en tant que service
La hausse récente de Ransomware en tant que service a alarmé les experts en sécurité du monde entier. Contrairement au MaaS, l’activité de hack-for-hire semble être beaucoup plus ciblée. Par exemple, Reuter a récemment rendu compte de milliers d’enregistrements d’e-mails exposant un groupe indien de piratage pour compte d’autrui. Ces acteurs ont été appelés à s’immiscer dans des procès partout dans le monde. Les cyber-espions travaillent pour les justiciables qui cherchent à obtenir un avantage.
Le rapport de Reuters cite Anthony Upward, directeur général de Cognition Intelligence, une société de contre-surveillance basée au Royaume-Uni, qui déclare : « C’est un secret de Polichinelle que certains enquêteurs privés utilisent des groupes de hackers indiens pour cibler l’opposition dans des batailles judiciaires ».
Reuters a rapporté qu’au moins 75 entreprises américaines et européennes, trois douzaines de groupes de défense et de médias et de nombreux dirigeants d’entreprises occidentaux ont fait l’objet de tentatives indiennes de piratage contre rémunération.
On est loin d’un portail MaaS qui vend des abonnements en ligne pour des services malveillants. Les groupes MaaS ressemblent de plus en plus à des marques SaaS. Certains groupes MaaS ont des sites Web librement accessibles, des newsletters mensuelles, des campagnes marketing, des didacticiels vidéo, des livres blancs et des comptes Twitter.
Bien que les groupes de hack-for-hire puissent faire de la publicité, ils n’aident généralement pas les clients à obtenir un paiement en crypto-monnaie. Et vous ne pouvez pas vous inscrire à un service d’abonnement. Il est plus que probable que les clients de hack-for-hire ont une cible et un objectif spécifiques en tête. Et cela implique souvent de l’espionnage. Ils le disent même directement sur leurs sites Web :
Source : GoogleTAG
Deathstalker et Dead Drop Resolvers
Tout en cherchant des preuves des intrusions du groupe Deathstalker hack-for-hire, Kaspersky identifié une nouvelle variante du malware Janicab. Le groupe a utilisé Janicab pour cibler des entités juridiques au Moyen-Orient tout au long de 2020 et éventuellement en 2021. L’activité du groupe peut même s’être étendue jusqu’au début de 2015 et a ciblé des agences juridiques, financières et de voyage au Moyen-Orient et en Europe.
Il semble que Deathstalker utilisait les services Web YouTube, Google+ et WordPress comme résolveurs dead drop (DDR). Les adversaires peuvent utiliser un service Web externe existant et légitime pour héberger des informations pointant vers une infrastructure de commande et de contrôle (C2) supplémentaire. Les acteurs peuvent publier du contenu, connu sous le nom de résolveur de dead drop, sur des services Web avec des domaines ou des adresses IP intégrés (et souvent obscurcis/codés). Une fois infectés, les ordinateurs des victimes contacteront et seront redirigés par ces résolveurs.
Les sites Web populaires et les médias sociaux agissant comme un mécanisme pour C2 peuvent offrir une couverture importante en raison de la probabilité que les hôtes du réseau communiquent déjà avec eux avant un compromis. Les services courants, tels que ceux proposés par YouTube, Reddit, GitHub, Google ou Twitter, peuvent être utilisés dans DDR. Cela permet aux adversaires de se fondre dans le trafic normal. De plus, les fournisseurs de services Web utilisent couramment le cryptage SSL/TLS qui offre aux intrus un niveau de protection supplémentaire.
Motifs de piratage à la location
Contrairement aux gangs de ransomwares qui recherchent généralement un paiement rapide en crypto-monnaie, les groupes de hack-for-hire se spécialisent dans l’espionnage ou le ciblage d’individus. Cela signifie qu’ils tentent d’infecter les ordinateurs, les systèmes et les réseaux tout en restant cachés pendant de longues périodes. Et ils ciblent fréquemment les e-mails. Quelles pourraient être leurs motivations ? Kaspersky a proposé plusieurs hypothèses sur ce que pourraient être les motivations de Deathstalker, telles que :
- Litiges impliquant des VIP
- Litiges impliquant des actifs financiers
- Intention de faire chanter les VIP
- Suivi des avoirs financiers des/pour les VIP
- Veille concurrentielle/commerciale pour les moyennes/grandes entreprises
- Veille sur les fusions et acquisitions de taille moyenne/grande.
Entre-temps, Trend Micro signalé que des cybermercenaires sont utilisés pour attaquer l’opposition politique, les dissidents, les journalistes et les militants des droits de l’homme. Des outils malveillants sont utilisés pour espionner ces cibles, et les conséquences peuvent être dévastatrices. Par exemple, certains politiciens et journalistes qui doivent fuir leur pays d’origine deviennent la cible de cyberattaques agressives.
Selon Trend Micro, un groupe de piratage basé en Russie nommé Rockethack volera des informations hautement sensibles de particuliers et d’entreprises à la demande. Mais le groupe semble également avoir soif de données lui-même. Avant même qu’un client ne demande un nouveau service, les pirates peuvent déjà réfléchir et collecter des tonnes de données personnelles et privées. Le groupe de hack-for-hire basé en Russie cible les employés clés des entreprises qui ont accès à de grandes quantités de données personnelles.
Un trésor de données exfiltrées
Quel type de données Rockethack a-t-il à vendre ? Cela ressemble à quelque chose d’un roman d’espionnage. Trend Micro a signalé que Rockethack peut extraire des données telles que :
- Informations sur les passeports russes, les passeports étrangers et les certificats de mariage
- Informations sur les billets achetés nécessitant un passeport (train, bus, compagnies aériennes et ferries)
- Données frontalières sur les personnes individuelles
- Données sur les passagers arrivant dans les aéroports russes
- Données sur les passagers des gares russes longue distance
- Registres d’Interpol
- Records criminels
- Dossiers de sécurité routière
- Permis de migrants
- Prises de vue de la caméra de circulation
- Données de la police de la circulation (amendes, immatriculation des voitures)
- Enregistrement des armes
- Dossiers du service fédéral des impôts
- Dossiers d’antécédents de crédit
- Solde du compte bancaire
- Relevés de compte bancaire
- Numéro(s) de téléphone associé(s) au compte bancaire
- Données d’enregistrement de la carte bancaire
- Raison et date du blocage du compte
- Le numéro de téléphone et les informations du passeport
- Enregistrements d’appels téléphoniques et de SMS avec/sans emplacements de tours cellulaires
- Numéros de téléphone bloqués
- Carte où les appels ont été localisés
- Emplacement du téléphone/de la carte SIM
- Impression d’un SMS.
Exposer la menace cachée
Les groupes de piratage pour compte d’autrui peuvent passer inaperçus pendant des mois, voire des années, tandis que des informations très sensibles et détaillées sont exfiltrées. Pour cette raison, des outils plus avancés sont nécessaires, en particulier au niveau de l’entreprise.
Des solutions telles que Gestion des informations et des événements de sécurité (SIEM) peut corréler des sources de données de cloud hybride pour révéler le chemin d’accès d’un attaquant. Pendant ce temps, les renseignements sur les menaces peuvent être utilisés pour valider la source de l’attaque en tant que centre de commandement et de contrôle connu.
Lorsque des acteurs malveillants déclenchent plusieurs analyses de détection, se déplacent sur le réseau ou modifient leurs comportements, SIEM peut les suivre. Plus important encore, SIEM peut corréler, suivre et identifier les activités connexes tout au long d’une chaîne de mise à mort avec une hiérarchisation automatisée intégrée.
Les groupes de hack-for-hire ne semblent pas faire beaucoup de gros titres. C’est peut-être parce qu’ils ne sont pas facilement découverts. Peut-être que les entreprises devraient commencer à chercher plus fort.
Rédacteur technologique indépendant
Jonathan Reed est un rédacteur technologique indépendant. Au cours de la dernière décennie, il a écrit sur un large éventail de sujets, notamment la cybersécurité, l’industrie 4.0, l’IA/ML…
to securityintelligence.com
Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931