Une intrusion réseau au Comité international de la Croix-Rouge (CICR) en janvier a conduit au vol d’informations personnelles sur plus de 500 000 personnes bénéficiant de l’aide du groupe. BreachTrace a appris que l’adresse e-mail utilisée par un acteur cybercriminel qui a proposé de vendre les données volées du CICR a également été utilisée pour enregistrer plusieurs noms de domaine qui, selon le FBI, sont liés à une vaste opération d’influence médiatique en provenance d’Iran.
Le 19 janvier, le CICR a révélé la compromission de serveurs hébergeant les informations personnelles de plus de 500 000 personnes recevant des services du Mouvement de la Croix-Rouge et du Croissant-Rouge. Le CICR a déclaré que les serveurs piratés contenaient des données relatives à l’organisation Rétablissement des liens familiaux services, qui travaille à reconnecter les personnes séparées par la guerre, la violence, la migration et d’autres causes.
Le même jour, le CICR a rendu publique sa violation, quelqu’un utilisant le surnom « Shérif” sur le forum anglophone sur la cybercriminalité RaidForums annoncé la vente de données du Mouvement de la Croix-Rouge et du Croissant-Rouge. Le fil de vente du shérif suggère que le CICR a été invité à payer une rançon pour garantir que les données ne seraient pas divulguées ou vendues en ligne.
« Monsieur. Mardini, vos paroles ont été entendues », a écrit le shérif, en publiant un lien vers le profil Twitter de Directeur général du CICR, Robert Mardini et exhortant les membres du forum à lui dire de vérifier ses e-mails. « Vérifiez votre e-mail et envoyez un chiffre que vous pouvez payer. »
Dans leurs déclaration en ligne sur le piratage (mis à jour le 7 février) le CICR a déclaré qu’il n’avait eu aucun contact avec les pirates et qu’aucune demande de rançon n’avait été faite.
« Conformément à notre pratique permanente de dialoguer avec tout acteur susceptible de faciliter ou d’entraver notre travail humanitaire, nous sommes disposés à communiquer directement et confidentiellement avec quiconque pourrait être responsable de cette opération afin de leur faire comprendre la nécessité de respecter notre action humanitaire », lit la déclaration du CICR.
Invité à commenter les affirmations du shérif, le CICR a publié la déclaration suivante :
« Pour le moment, nous n’avons aucune preuve concluante que ces informations sur la violation de données ont été publiées ou sont échangées. Notre équipe de cybersécurité a examiné toute allégation signalée de données disponibles sur le dark web.
Mise à jour, 14h00, HE : Le CICR vient de publier une mise à jour de son FAQ sur la violation. Le CICR affirme maintenant que les pirates sont entrés par effraction le 9 novembre 2021, en utilisant une vulnérabilité critique non corrigée (CVE-2021-40539). « Cette vulnérabilité permet aux cyber-acteurs malveillants de placer des shells Web et de mener des activités de post-exploitation telles que compromettre les informations d’identification de l’administrateur, effectuer des mouvements latéraux et exfiltrer les ruches de registre et les fichiers Active Directory. Une fois à l’intérieur de notre réseau, les pirates ont pu déployer des outils de sécurité offensifs qui leur ont permis de se déguiser en utilisateurs ou administrateurs légitimes. Cela leur a permis à leur tour d’accéder aux données, bien que ces données soient cryptées.
Histoire originale :
L’adresse e-mail utilisée par le shérif pour s’inscrire sur RaidForums — [email protected] — apparaît dans un affidavit pour un mandat de perquisition déposé par le FBI il y a environ un an. Ce mandat du FBI est venu sur les talons de une enquête publiée par une firme de sécurité FireEyequi a examiné un réseau iranien de sites d’information et de comptes de médias sociaux non authentiques destinés aux États-Unis, au Royaume-Uni et à d’autres publics occidentaux.
« Cette opération tire parti d’un réseau de sites d’information non authentiques et de groupes de comptes associés sur plusieurs plateformes de médias sociaux pour promouvoir des récits politiques conformes aux intérêts iraniens », ont écrit les chercheurs de FireEye. « Ces récits incluent des thèmes anti-saoudiens, anti-israéliens et pro-palestiniens, ainsi qu’un soutien à des politiques américaines spécifiques favorables à l’Iran. »
Selon l’affidavit du FBI, l’adresse [email protected] a été utilisée pour enregistrer au moins trois domaines différents pour de faux sites d’information, y compris awdnews[.]com, sachtimes[.]com et whatsupic[.]com. Une recherche WHOIS inversée sur cette adresse e-mail à DomainTools.com (un annonceur sur ce site) montre qu’il a été utilisé pour enregistrer 17 domaines entre 2012 et 2021, dont moslimyouthmedia[.]com, presse musulmane[.]com et realneinovosti[.]rapporter.
Un examen des publications du shérif sur RaidForum révèle qu’il a utilisé deux autres surnoms depuis son inscription sur le forum en décembre 2021 : « Non inculpé, » et « menace_acteur.” Dans plusieurs messages, le shérif se moque d’un employé de FireEye par son nom.
Dans un message du 3 janvier 2022, le shérif déclare que son « équipe » recherche des licences pour l’outil de test de pénétration Cobalt Strike et qu’elle est prête à payer 3 000 à 4 000 dollars par licence. Cobalt Strike est un produit de sécurité légitime vendu uniquement à des partenaires approuvés, mais des licences Cobalt Strike compromises ou mal acquises sont fréquemment utilisés dans la perspective d’attaques de rançongiciels.
« Nous allons acheter constamment, prendre contact », a conseillé le shérif. « Ne demandez pas si nous avons encore besoin)) l’équipe s’intéresse indéfiniment aux licences. »
Le 4 janvier 2022, le shérif dit à RaidForums que son équipe a besoin d’accéder à une plate-forme de courtier de données spécifique et propose de payer jusqu’à 35 000 $ pour cet accès. Le shérif dit qu’ils n’accepteront que les offres garanties par le compte séquestre du forum.
La demande d’entiercement dans un fil de vente est presque universellement un signe que quelqu’un est sérieux et qu’il est prêt à effectuer des transactions sur tout ce qui a été annoncé ou demandé. En effet, les transactions d’entiercement obligent nécessairement l’acheteur à effectuer un dépôt auprès des administrateurs du forum avant de procéder à toute transaction.
Le shérif semble avoir fait partie d’un groupe sur RaidForums qui proposait d’acheter l’accès à des organisations qui pourraient être extorquées avec des rançongiciels ou menacées de publication de données volées (Capture d’écran PDF de la société de renseignements sur les menaces KELA). Dans un « rapport d’escroquerie » déposé contre le shérif par un autre membre de RaidForums le 31 décembre 2021, le demandeur affirme que le shérif leur a acheté l’accès et a accepté de payer 70 % de toute rançon payée par l’organisation victime.
Au lieu de cela, le demandeur soutient que le shérif ne leur a versé qu’environ 25 %. « La société a payé une rançon de 1,35 million de dollars et seul un paiement de 350 000 dollars m’a été versé, alors je demande 600 000 dollars pour régler ce différend », a écrit l’affilié.
Dans un autre article sur RaidForums, un utilisateur nommé à juste titre « Agent du FBI » a conseillé aux autres habitants de se tenir à l’écart du programme d’affiliation de rançongiciel du shérif, notant que toute transaction avec cette personne pourrait enfreindre les sanctions du département américain du Trésor. Bureau de contrôle des avoirs étrangers (OFAC) qui restreignent le commerce avec les personnes résidant en Iran.
« Pour être clair, nous ne travaillons pas avec des personnes figurant sur la liste des sanctions de l’OFAC, sous laquelle @Sheriff fait partie », a écrit en réponse l’administrateur du programme d’affiliation de ransomware.
RaidForums dit que Sheriff a été référé au forum par Pompompurine, le même pirate informatique qui a utilisé une faille de sécurité dans le site Web du FBI l’année dernière pour envoyer une fausse alerte concernant une enquête sur la cybercriminalité aux autorités nationales et locales. Pompompurin a été très actif sur RaidForums ces dernières années, publiant fréquemment des bases de données d’organisations nouvellement piratées, et vendre l’accès à des informations volées.
Atteint via Twitter, Pompompurin a déclaré qu’ils n’avaient aucune idée de qui aurait pu offrir de l’argent et des informations sur le shérif, et qu’ils ne « dénonceraient » jamais le shérif.
« Je sais qui il est mais je ne dis rien », a répondu Pompompurin.
Les informations sur le shérif ont été portées à mon attention par une personne anonyme qui a initialement contacté BreachTrace en disant qu’elle souhaitait faire un don à la publication. Lorsque la personne offrant le cadeau m’a demandé s’il était normal que l’argent provienne d’une transaction de ransomware, j’ai naturellement décliné l’offre.
Cette personne a ensuite partagé les informations sur le lien entre l’adresse e-mail du shérif et le mandat de perquisition du FBI, ainsi que les informations d’identification du compte.
La même identité a approché plusieurs autres chercheurs en sécurité et journalistes, dont l’un a pu valider que l’adresse [email protected] appartenait bien au compte du shérif. Ces chercheurs se sont également vu offrir des dons entachés, sauf que la personne offrant le don semblait utiliser une histoire différente avec chaque personne sur qui elle était ou pourquoi elle offrait de l’argent. D’autres personnes contactées par le même utilisateur anonyme ont déclaré avoir également reçu des informations non sollicitées sur le shérif.
Il semble clair que celui qui a offert cet argent et ces informations a son propre programme, qui peut également impliquer des tentatives de faire paraître les membres des médias d’information indignes de confiance pour avoir accepté d’accepter des fonds volés. Cependant, les informations qu’ils ont partagées sont vérifiées, et comme il existe très peu de rapports publics sur la source de l’intrusion du CICR, le lien potentiel avec des groupes de pirates informatiques basés en Iran semble mériter d’être noté.