Un développeur que les chercheurs considèrent désormais comme une opale grasse, fonctionnant comme une entreprise apparemment légitime, alimente le secteur de la cybercriminalité en tant que service avec un outil qui contourne les solutions de sécurité des comptes et permet la résolution des CAPTCHA dirigés par des robots à grande échelle.
Greasy Opal est actif depuis plus de deux décennies et adapte ses outils en fonction des besoins de ciblage des clients. Son logiciel a été utilisé pour cibler les gouvernements et diverses entreprises et services technologiques (par exemple Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, Vkontakte).
Parmi les clients de Greasy Opal se trouve le groupe de cybercriminalité basé au Vietnam connu sous le nom de Storm-1152, qui a créé environ 750 millions de comptes Microsoft pour les vendre à divers acteurs de la menace, y compris Scattered Spider.
Développeur averti
Des chercheurs d’Arkose Labs, une société de prévention de la fraude proposant des solutions de détection de robots, ont observé les outils de Greasy Opal utilisés par divers acteurs malveillants pendant des années et donnent maintenant un aperçu du fonctionnement de l’acteur.
L’acteur semble avoir créé un site Web pour commercialiser son outil de contournement de CAPTCHA sur le Web clair depuis au moins 2016, mais Breachtrace a constaté qu’il était déjà utilisé en 2008 et capable de casser les contrôles CAPTCHA de Microsoft pour Hotmail (Outlook d’aujourd’hui) à l’époque.
De plus, l’outil, que l’acteur surnomme “le meilleur solveur de captcha au monde », a connu de multiples itérations majeures et est régulièrement mis à jour pour s’adapter aux nouveaux types de CAPTCHAs.
Le rapport d’Arkose Labs note que l’outil est très efficace et repose sur une technologie avancée de reconnaissance optique de caractères (OCR) combinée à des modèles d’apprentissage automatique “pour résoudre avec des CAPTCHAs texte de haute précision en général et des outils plus ciblés pour d’autres CAPTCHAS texte populaires spécifiques.”
Kevin Gosschalk, PDG d’Arkose Labs, a déclaré à Breachtrace que Greasy Opal développait probablement en interne la technologie OCR de pointe pour analyser et interpréter les CAPTCHAs textuels.
Greasy Opal propose deux éditions pour son solveur CAPTCHA, une gratuite qui est plus lente et moins précise, et une version payante qui, selon le développeur, est livrée avec une précision d’identification d’image de 90 à 100% et peut reconnaître des objets en moins d’une seconde.
Gagner de l’argent et payer des impôts
Selon les chercheurs, la motivation de l’acteur est purement financière et ne se soucie pas de savoir qui sont ses clients tant qu’ils paient pour le produit.
Le forfait le plus cher qui regroupe tous les outils coûte 190 plus plus l’abonnement mensuel de 10$, un prix très bas pour ce qu’ils offrent, malgré le nombre restreint d’installations autorisées.
« […..] les attaquants peuvent acheter la boîte à outils de Greasy Opal pour 70 USD. Pour 100 USD supplémentaires, les clients peuvent passer à la version bêta. Quelle que soit la version, Greasy Opal oblige les clients à payer 10 USD supplémentaires par mois en tant que frais d’abonnement » – Arkose Labs
Il existe également un bundle business edition qui coûte 300 $et permet un nombre légèrement plus élevé d’installations. Les frais mensuels s’appliquent également pour celui-ci.
Avec des centaines d’attaquants individuels utilisant les outils, les chercheurs estiment que Greasy Opal avait un chiffre d’affaires d’au moins 1,7 million de dollars l’année dernière.
Bien qu’il ne soit pas directement impliqué dans des attaques, l’acteur est conscient que ses outils sont utilisés pour des activités illégales, mais maintient une façade légitime en payant des impôts pour l’entreprise.
Par besoins CAPTCHA des clients
Malgré les informations contradictoires sur le site Web de Greasy Opal-qui indique à un endroit que l’entreprise a démarré en 2007 et à un autre endroit en 2005, il est certain que certains des outils ont une histoire de près de 20 ans.
Arkose Labs pense que l’acteur opère depuis la République tchèque, fournissant sans discernement aux opérations de cybercriminalité en tant qu’entreprise (CaaB) des outils de spam, de promotion de contenu sur les réseaux sociaux et de black SEO, des outils typiques pour pousser le contenu à grande échelle.
Après que Microsoft a perturbé l’activité de Storm-1152 en s’emparant de plusieurs de ses domaines, Arkose Labs a pu analyser les logiciels développés par Greasy Opal et utilisés dans des attaques.
Bien que certains logiciels puissent être perçus comme des utilitaires à des fins de marketing, les chercheurs ont découvert que le solveur CAPTCHA avait été développé pour cibler des organisations spécifiques.
Certaines des cibles sont les services publics et gouvernementaux en Russie (Trafic d’État, Système unifié de Navigation et d’Information de Moscou, Service des impôts, Huissier de justice fédéral, Passeport électronique), au Brésil (Secrétaire à l’Infrastructure,) et aux États-Unis (Département de la Sécurité intérieure). du Bureau d’État des Affaires consulaires).
Parmi les entités les plus importantes du secteur technologique sur lesquelles le solveur de CAPTCHA de Greasy Opal s’est concentré, citons Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, GMX, Vkontakte, Yandex, World of Tanks.
Gosschalk a décrit Greasy Opal comme étant un développeur de logiciels “très intelligent et peu éthique » qui ne s’intéresse qu’à gagner de l’argent.
Même s’il ne mène pas les attaques, le rôle de Greasy Opal dans la chaîne d’approvisionnement cybercriminelle est important car il permet sciemment aux acteurs de la menace peu qualifiés d’automatiser des attaques massives contre des entreprises du monde entier.