Une communauté croissante de forums de cybercriminalité privés et hautement contrôlés redéfinit le sens même des «attaques ciblées». Ces forums d’enchères et de demandes correspondent à des escrocs qui recherchent un accès à des données, des ressources ou des systèmes spécifiques au sein de grandes entreprises avec des muscles embauchés qui sont à la hauteur de la tâche ou qui ont déjà accès à ces ressources.
Un bon exemple de cela jusqu’à récemment pouvait être trouvé sur un forum en ligne secret appelé « Enigma », une communauté aujourd’hui disparue qui a été construite comme une sorte d’eBay pour les cibles de violation de données. Les utilisateurs contrôlés sur Enigma étaient soit des enchérisseurs, soit des acheteurs – publiant des demandes de données ou d’accès à des cibles d’entreprise spécifiques, ou répondant à ces demandes en proposant de fournir les données demandées. Le forum, qui fonctionnait sur le Web ouvert depuis des mois jusqu’à récemment, a apparemment été sabordé lorsque les administrateurs du forum ont (à juste titre) craint que la communauté n’ait été infiltrée par des espions.
La capture d’écran ci-dessous montre plusieurs offres sur Enigma de mars à juin 2015, demandant des données et des services liés à HSBC Royaume-Uni, Citibank, AirBerlin et Banque d’Amérique:
Enigma, un forum exclusif pour les cyber-voleurs pour acheter et vendre l’accès ou les données volées aux entreprises.
Un membre particulièrement actif, illustré dans la capture d’écran ci-dessus et celle ci-dessous utilisant le surnom « Demander », publie le 10 janvier 2015 qu’il recherche des informations d’identification de Cisco et que la demande est urgente (il n’est pas clair d’après la publication si il cherche à accéder à Cisco Corp. ou simplement à un routeur Cisco spécifique). Demander recherchait également des services liés à Banque d’Amérique GAB et données ou services non spécifiés de Wells Fargo.
Plus d’offres sur le forum Enigma pour les services, les données et l’accès aux grandes entreprises.
Une grande partie des informations sur Enigma provient de Noam Jollesun expert principal du renseignement à Technologies Avancées Diskin. Les employés de l’entreprise Jolles sont tous d’anciens membres de Pari Shin, alias l’Agence de sécurité israélienne / Service de sécurité générale – l’agence de contre-espionnage et de contre-terrorisme d’Israël, et similaire au MI5 britannique ou au FBI américain. L’homonyme de l’entreprise vient de son fondateur, Yuval Diskinqui a dirigé le Shin Bet de 2005 à 2011.
« Sur Enigma, les membres postent une offre et appellent les gens à attaquer certaines cibles ou qu’ils recherchent certaines bases de données pour lesquelles ils sont prêts à payer », a déclaré Jolles. « Et les gens y répondent et offrent leur marchandise. »
Ces offres peuvent prendre de nombreuses formes, a déclaré Jolles, allant des demandes de commettre une cyberattaque spécifique aux offres d’accès à certains serveurs Web ou réseaux internes d’entreprise.
« J’ai même vu des offres concernant des noms de personnes qui pourraient servir d’initiés », a-t-elle déclaré. « Des listes de personnes susceptibles d’être recrutées ou extorquées. »
De nombreux experts pensent que la violation qui a exposé des dizaines de millions de comptes d’utilisateurs sur AshleyMadison.com – un site d’infidélité qui promet de connecter des conjoints infidèles – provient ou a été au moins assistée par un initié de l’entreprise. Fait intéressant, le 25 juin 2015 – trois semaines avant que la nouvelle de la violation n’éclate – un membre d’un forum d’échange de données secrètes connexe appelé le « Gentlemen’s Club » sollicite « des données et des services » liés à AshleyMadison, en disant « Ne perdez pas de temps si vous ne savez pas de quoi je parle. Grande opportunité d’emploi.
Le 26 juin 2015, un membre du forum « Gentlemen’s Club » nommé « Diablo » demande des données et des services liés à AshleyMadison.com.
Les forums de cybercriminalité comme Enigma contrôlent les nouveaux utilisateurs et exigent des dépôts non remboursables de monnaie virtuelle (comme Bitcoin). Plus important encore, ils ont des règles strictes : si les administrateurs du forum remarquent que vous n’échangez pas avec d’autres sur le forum, vous serez bientôt expulsé de la communauté. Cette politique signifie que les utilisateurs qui ne sont pas activement impliqués dans des activités illicites, telles que l’achat ou la vente d’accès à des ressources piratées, ne sont pas autorisés à rester longtemps sur le forum.
BROUILLAGE DES FRONTIÈRES GÉOGRAPHIQUES
À certains égards, les forums susmentionnés – aussi exclusifs qu’ils semblent être – sont une extension logique de l’activité des forums sur la cybercriminalité qui mûrit depuis plus d’une décennie.
Comme je l’ai écrit dans mon livre, Spam Nation : L’histoire intérieure de la cybercriminalité organisée – De l’épidémie mondiale à votre porte d’entrée, « les forums sur le crime aident presque universellement à réduire les barrières à l’entrée pour les cybercriminels potentiels. Les forums criminels offrent aux escrocs aux compétences disparates un endroit pour commercialiser et tester leurs services et marchandises, et à leur tour pour acheter des biens et services mal acquis à d’autres.
La tournure intéressante avec des forums comme Enigma est qu’ils se concentrent sur la connexion des mécréants cherchant des informations ou un accès spécifiques avec ceux qui peuvent être embauchés pour exécuter un piratage ou fournir les informations recherchées à partir d’un corpus de données déjà compromises. Sur la base de son interaction avec d’autres acheteurs et vendeurs sur ces forums, Jolles a déclaré qu’un grand nombre des demandes de services semblent être des personnes qui en embauchent d’autres pour mener des attaques de harponnage – celles qui ciblent certaines personnes clés au sein d’entreprises et d’organisations.
« Ce qui me frappe le plus dans ces forums, c’est l’utilisation évidente des attaques de harponnage, la demande brute de personnes qui savent cartographier les cibles du phishing et le fait que tant de gens sont apparemment prêts à payer pour cela », Jolles mentionné. « Cela me surprend de voir combien les gens sont prêts à payer pour de bons fraudeurs et de bons experts en ingénierie sociale qui accrochent l’appât pour le phishing. »
Jolles pense qu’Enigma et les forums d’enchères et de demandes similaires contribuent à brouiller les frontières internationales et géographiques entre les attaquants responsables du vol des données et ceux qui cherchent à les utiliser à des fins illicites.
« Nous avons vu une attaque commise par un gang d’Europe de l’Est, par exemple, et le [stolen] la base de données finira par arriver en Chine », a déclaré Jolles. « Dans cette arène d’échange de données, les frontières sont déformées. Je peux être un acheteur au niveau de l’État, tandis que les attaquants seront des criminels d’Europe de l’Est.
DEMANDEZ LE SAMURAI
Jolles a déclaré qu’elle avait commencé à creuser plus profondément dans ces forums dans le but de répondre à la question de savoir ce qu’il advient de ce qu’elle appelle les « bases de données manquantes ». Aviva Litananalyste des fraudes chez Gartner Inc., écrit au sujet de la recherche de Jolles en juillet 2015, et l’a expliqué de cette façon :
« Où sont passées toutes les données volées et comment sont-elles utilisées ?
Nous avons tous été bombardés de rapports hebdomadaires, voire quotidiens, de violations et de vols d’informations personnelles sensibles dans des organisations telles que Anthem, JP Morgan Chase et OPM. Pourtant, malgré l’assaut continu des violations signalées (et nous devons supposer que seuls les pirates informatiques négligents se font prendre et que les violations signalées ne représentent qu’une fraction du gâteau total des violations) – nous n’avons pas vu de vol d’identité généralisé ou de dommages personnels infligés par ces manquements.
L’un d’entre vous a-t-il entendu parler des impacts négatifs directs de ces vols sur ses amis, sa famille ou ses connaissances ? Je n’ai certainement pas.
Jolles a déclaré qu’un bon exemple d’acteur cybercriminel qui aide à brouiller les frontières géographiques typiques de la cybercriminalité est un mystérieux acheteur en masse de données volées connu de beaucoup sur Enigma et d’autres forums similaires sous un certain nombre de surnoms, dont « King », mais la plupart communément « Le Samouraï ».
« Selon ce que je peux comprendre jusqu’à présent, c’est un surnom qui lui a été donné et non celui qu’il a lui-même choisi », a déclaré Jolles. «Il recherche tout type de gros volumes de données volées. Bien sûr, je reçois mes informations de personnes qui négocient réellement avec lui, et non de moi qui négocie directement avec lui. Mais ils disent tous qu’il va l’acheter et payer immédiatement, et qu’il vient de Chine.
Quels autres indices y a-t-il que The Samurai pourrait être affilié à un acteur parrainé par l’État ? Jolles a déclaré que cet acteur paie immédiatement pour de bonnes bases de données vérifiables et ne marchande généralement pas le prix.
« Les gens pensent qu’il est chinois, qu’il fait partie du gouvernement à cause de la façon dont il paie », a déclaré Jolles. « Il paie immédiatement et il ne négocie pas. »
Le samouraï n’est peut-être qu’un gars dans un parc à roulottes au milieu de l’Amérique, ou une identité adoptée par un groupe d’individus, pour autant que je sache. Alternativement, il pourrait être quelque chose d’un jour moderne Keyser Sözeune sorte de boogeyman virtuel qui acquiert un statut mythique parmi les enquêteurs et les criminels.
Néanmoins, de nouveaux forums comme The Gentlemen’s Club et Enigma sont remarquables car ils changent le visage des attaques ciblées, construisant des ponts cruciaux entre les pirates opportunistes éloignés, les mercenaires et ceux qui souhaitent exploiter ces ressources.