Une entreprise de sécurité a fait la une des journaux plus tôt ce mois-ci lorsqu’elle s’est vantée d’avoir contrecarré les plans de cybercriminels russes organisés pour lancer une attaque contre plusieurs banques basées aux États-Unis. Mais un examen plus approfondi des détails de ce rapport suggère que les acteurs en question étaient des hameçonneurs nigérians relativement peu sophistiqués qui avaient simplement enregistré un tas de nouveaux sites Web de fausses banques.
le rapport a été publié par le fournisseur de sécurité basé à Colorado Springs, Colorado racine9Bqui vante un certain nombre d’anciens Agence de Sécurité Nationale (NSA) et département de la Défense des experts en cybersécurité dans ses rangs. Le rapport a été couvert par plusieurs médias, notamment Fox News, politique, SC Magazine et La colline. root9B a déclaré avoir découvert les plans d’un gang de piratage russe connu sous le nom de Groupe Sofacy et APT28. APT est l’abréviation de « menace persistante avancée», et c’est un terme très utilisé par les entreprises qui vendent des services de cybersécurité en réponse aux violations d’adversaires financés par l’État en Chine et en Russie qui sont déterminés à voler des secrets commerciaux via des attaques extrêmement furtives.
La pochette du rapport root9B.
« Lors de la surveillance d’un client root9B, la société a découvert des logiciels malveillants généralement associés à des attaques d’États-nations », a déclaré le PDG de root9B. Eric Hipkins a écrit sur le stratagème, qui, selon lui, visait des institutions financières telles que Banque d’Amérique, Banque des Régions et Banque TDentre autres.
« Il s’agit du premier cas de Sofacy ou d’une autre attaque découverte, identifiée et signalée avant qu’une attaque ne se produise », a déclaré Hipkins. « Notre équipe a fait un travail incroyable pour découvrir ce qui aurait pu être un événement important pour la communauté bancaire internationale. Nous avons passé les trois derniers jours à informer les autorités compétentes à Washington et aux Émirats arabes unis, ainsi que les RSSI des organisations financières.
Cependant, selon une analyse des domaines qui auraient été utilisés par les criminels dans l’attaque planifiée, peut-être que root9B devrait clarifier ce qu’il entend par APT. À moins que l’entreprise ne retienne des détails clés sur ses recherches, sa définition de l’APT peut être décrite plus précisément comme une « menace de phishing africaine ».
Le rapport identifie correctement plusieurs adresses e-mail et adresses physiques clés que les fraudeurs ont utilisées en commun sur tous les faux domaines bancaires. Mais root9B semble avoir peu de preuves reliant la ou les personnes qui ont enregistré ces domaines au gang Sofacy APT. En effet, la lecture de leur analyse suggère que leur seul lien est que certains des faux domaines bancaires utilisaient un serveur de noms de domaine précédemment associé à l’activité de Sofacy : carbon2u[dot]com (attention : hôte malveillant susceptible de déclencher des alertes antivirus).
Le problème avec cette liaison est bien que carbon2u[dot]com était en fait à un moment associé à une activité émanant du groupe Sofacy APT, Sofacy n’est pas le seul mauvais acteur à utiliser ce serveur de noms douteux. Il y a beaucoup d’autres méchancetés sans rapport avec Sofacy qui appellent Carbon2u à la maison pour leurs opérations DNS, y compris ces clowns.
D’après ce que je peux dire, la grande majorité du rapport documente l’activité provenant d’escrocs nigérians qui mènent des escroqueries par hameçonnage bancaire ordinaires depuis près d’une décennie maintenant et ont laissé une bonne trace.
Par exemple, la plupart des termes de ce rapport de root9B traitent de faux domaines enregistrés sur une poignée d’adresses e-mail, notamment « adeweb200[email protected] », [email protected] » et « [email protected] ».
Chacun de ces e-mails est depuis longtemps associé à des sites de phishing créés par des escrocs apparents nigérians. Ils sont liés à ce Facebook profil pour un Showunmi Oluwaseunqui énumère son poste de PDG d’une organisation plutôt louche appelée Rolexzad Fishery Nig. Ltd.
Le domaine rolexad[dot]com a été signalé dès 2008 par aa419.orgun groupe de bénévoles qui cherche à fermer les sites de phishing, en particulier ceux émanant d’escrocs nigérians (d’où la référence au Code pénal nigérian 419, qui interdit diverses escroqueries et fraudes de confiance). Ce domaine fait également référence aux adresses e-mail susmentionnées. Voici un autre domaine de banque phishy enregistré par ce même escroc, datant de 2005 !
Bob Zitoun porte-parole de root9B, a déclaré que « l’équipe considère que le rapport est précis à 100 % et qu’il a été accueilli très favorablement par les autorités compétentes de Washington (et d’autres membres de la communauté cybernétique, y compris d’autres cyberentreprises). »
Je voulais savoir si j’étais le seul à critiquer le rapport root9B, alors j’ai contacté Jaime Blascovice-président et directeur scientifique de AlienVault – l’une des sociétés de sécurité qui a publié pour la première fois les premières conclusions sur le groupe Sofacy/APT28 en octobre 2014. Blasco a qualifié la recherche root9B de « très médiocre » (divulgation complète : AlienVault est l’un des nombreux annonceurs sur ce blog).
« En fait, il n’y a pas de lien entre ce que root9B a publié et l’activité de Sofacy », a-t-il déclaré. « Le seul lien est qu’il y avait un serveur DNS qui était utilisé par un domaine Sofacy et les trucs bancaires root9B publiés. Cela ne signifie pas qu’ils sont liés par quelque moyen que ce soit. Je suis vraiment surpris qu’il ait attiré beaucoup d’attention des médias en raison de la piètre recherche qu’ils ont faite, et [their use] de [terms] comme « hachages zeroday » dans le rapport m’a vraiment époustouflé. En dehors de cela, cela ressemble vraiment à un « rapport marketing / nous voulons une couverture médiatique dès que possible », puisque quelques jours après ce rapport, ils ont publié leurs résultats financiers du premier trimestre et cela a probablement augmenté la valeur de leurs penny stocks.
Les commentaires de Blasco peuvent sembler durs, mais il est vrai que Président de root9B Joe Grano acheté grande quantités de le stock de l’entreprise environ une semaine avant la publication de ce rapport. Le 14 mai 2015, root9B a publié ses résultats financiers du premier trimestre 2015.
Il y a un vieil adage : si le seul outil dont vous disposez est un marteau, vous avez tendance à tout traiter comme s’il s’agissait d’un clou. Dans ce cas, si vous ne faites que de la recherche APT, vous verrez probablement des acteurs APT partout où vous regarderez.