Comment le piratage est devenu un service professionnel en Russie

Vues: 10
0 0
Temps de lecture:8 Minute, 4 Second

L’opération de piratage la plus médiatisée de DarkSide pourrait s’avérer être la dernière: début mai, le groupe a lancé un attaque de ransomware contre la Colonial Pipeline Company, qui fournit jusqu’à la moitié de l’approvisionnement en carburant de la côte Est des États-Unis. Alors que les effets du piratage s’intensifiaient, la société a fermé le pipeline, ce qui a entraîné une flambée du prix de l’essence, ainsi que des jours de pénurie généralisée de carburant. Président Joe Biden a déclaré l’état d’urgence. DarkSide serait reparti avec une rançon de cinq millions de dollars, mais recevoir le paiement semble avoir eu un coût. Le 14 mai, le site de DarkSide est tombé en panne et le groupe a déclaré qu’il avait perdu l’accès à bon nombre de ses outils de communication et de paiement – à la suite de représailles des États-Unis ou d’une décision des membres qui financent l’organisation de retirer la prise. eux-mêmes.

DarkSide est une entreprise dite de ransomware-as-a-service, ce qui signifie qu’elle n’effectue pas réellement le travail de cyber-attaques. Au lieu de cela, il fournit aux pirates affiliés une gamme de services, de la gestion des négociations au traitement des paiements. Il disposait d’un blog et d’une interface conviviale permettant aux pirates de télécharger et de publier des informations volées. Lorsque DarkSide a fait ses débuts sur les forums de cybercriminalité en russe, en août dernier, son annonce de lancement ressemblait à un pitch deck d’un entrepreneur technologique. «Nous avons créé DarkSide parce que nous n’avons pas trouvé le produit parfait pour nous», lit-on. «Maintenant, nous l’avons.» Il fixait une échelle de frais dégressive, allant de vingt-cinq pour cent des rançons valant moins d’un demi-million de dollars à dix pour cent de celles valant cinq millions ou plus.

Les ransomwares en tant que service, à l’instar de l’économie technologique moderne dans son ensemble, ont évolué pour représenter un degré élevé de spécialisation, chaque acteur du marché fournissant des compétences distinctes. Une opération telle que l’attaque de DarkSide contre Colonial Pipeline commence avec un individu ou une équipe de pirates connus sous le nom de «courtiers d’accès individuels», qui pénètrent dans le réseau d’une entreprise cible. À partir de là, un autre pirate se déplace latéralement vers le contrôleur de domaine, le serveur en charge de la sécurité et de l’accès des utilisateurs, et y installe le code du ransomware. (DarkSide, parmi ses nombreux services, a proposé sa propre marque de logiciels malveillants pour verrouiller et extraire des données.) Une fois que les serveurs d’une victime ont été violés et que ses systèmes informatiques ont été gelés, les pirates remettent les choses aux opérateurs d’un ransomware-as-a -un équipement de service, qui gère tout le reste, y compris la détermination de la valeur de la rançon, la communication avec les organisations victimes et l’organisation des détails du paiement. «C’est ce que vous, en tant que pirate informatique, ne voulez pas traiter», a déclaré Mark Arena, PDG d’Intel 471, une société privée de cyberintelligence. «Vous n’avez ni la patience ni les compétences sociales.»

Le 10 mai, Biden a déclaré que les services de renseignement américains estiment que DarkSide est situé en Russie, même s’il n’y a «aucune preuve» le liant à l’État russe. Comme de nombreuses sources de revenus dans le monde souterrain de la cybercriminalité, le ransomware en tant que service est largement, mais pas entièrement, dominé par des pirates russophones ayant des racines en Russie et dans d’autres anciens États soviétiques. (Il existe de nombreuses exceptions, telles que Les équipes de piratage d’État de Corée du Nord, qui se spécialise dans le vol de banque en ligne.)

Les raisons de cette situation remontent à l’effondrement de l’Union soviétique, dans les années 90, lorsque des ingénieurs, programmeurs et techniciens hautement compétents ont été soudainement laissés à la dérive. Des décennies plus tard, l’histoire n’a pas beaucoup changé: les jeunes générations de Russes ont accès à des formations spécialisées en physique, en informatique et en mathématiques, mais ont peu de débouchés pour réaliser ces talents, du moins pas pour les types de salaires disponibles pour les programmeurs en , disons, la Silicon Valley. «Et que voient-ils lorsqu’ils se connectent? Qu’il est possible avec leurs connaissances et leurs compétences de gagner des millions de dollars, comme ça », a déclaré Sergey Golovanov, l’expert en chef de la sécurité chez Kaspersky Lab, une société de cybersécurité basée à Moscou. «Un certain pourcentage de ces personnes décident qu’il vaut la peine d’enfreindre la loi.»

Une telle carrière peut paraître d’autant plus attrayante que les risques semblent plutôt faibles, du moins si vous vous concentrez sur des cibles occidentales. Bien que les forces de l’ordre russes organisent périodiquement des opérations visant les cybercriminels nationaux, elles ferment généralement les yeux sur ceux qui utilisent la Russie comme base pour infiltrer les réseaux étrangers. Cela dépend en partie de la compétence juridique et des moyens d’enquête. S’il n’y a pas de victime sur le territoire russe qui puisse se présenter en personne pour déposer un rapport de police et fournir des preuves pour un procès pénal, alors les autorités n’ont pas grand-chose à poursuivre. «Même si les forces de l’ordre russes étaient si enclines, il n’y aurait rien à enquêter», a déclaré Alexey Lukatsky, un consultant renommé en cybersécurité à Moscou.

Pour s’assurer qu’ils ne rencontrent pas de problèmes sur leur territoire, la plupart des sites de rançongiciel en tant que service interdisent le ciblage d’entreprises ou d’institutions en Russie ou sur le territoire de l’ex-Union soviétique. « Les pirates ont une règle: ne travaillez pas sur le domaine .ru », a déclaré Golovanov. Dans le cas de DarkSide, une partie de son code malveillant a analysé les langues installées sur le poste de travail cible; s’il détecte le russe ou une autre langue commune aux pays post-soviétiques, il ne se déploie pas et s’efface de la machine.

Mais il y a aussi une autre raison très importante pour laquelle les cybercriminels peuvent se sentir relativement libres d’opérer depuis l’intérieur de la Russie. Les services de sécurité russes sont tentés de voir les pirates informatiques qui ciblent les entreprises, les gouvernements et les individus occidentaux moins comme une menace que comme une ressource. En 2014, le FBI inculpé un pirate informatique russe nommé Evgeniy Bogachev, accusé d’avoir volé des centaines de millions de dollars sur des comptes bancaires à travers le monde; Les procureurs américains ont demandé à leurs homologues russes de coopérer. Plutôt que d’arrêter Bogatchev, cependant, les autorités russes ont utilisé ses violations pour rechercher des fichiers et des e-mails sur des appareils appartenant à des employés du gouvernement et des sous-traitants aux États-Unis, en Géorgie et en Turquie. Comme le Fois a écrit, l’État russe «greffait une opération de renseignement sur un système cybercriminel de grande envergure, s’épargnant le travail acharné du piratage des ordinateurs eux-mêmes».

Dans un 2012 document de politique intitulé «Beyond Attribution», Jason Healey, directeur de la Cyber ​​Statecraft Initiative à l’Atlantic Council, a proposé d’évaluer la responsabilité de l’État dans les attaques de piratage sur un continuum allant de «interdit par l’État» à «intégré par l’État». On ne sait pas exactement où l’attaque DarkSide contre Colonial Pipeline tombe sur cette ligne, ou ce que Biden voulait dire quand il a dit que la Russie «a une certaine responsabilité pour faire face à cela. Jusqu’à présent, les preuves accessibles au public suggèrent une catégorisation, dans la taxonomie de Healey, d ‘«État ignoré», dans laquelle «un gouvernement national est au courant des attaques de tiers mais, par principe, n’est pas disposé à prendre des mesures officielles. . »

Pour sa part, le Kremlin a rejeté toute suggestion selon laquelle il serait blâmé de ne pas avoir fait plus pour freiner les activités de groupes comme DarkSide. « La Russie n’a rien à voir avec cela », Vladimir Poutinea déclaré le porte-parole de Dmitri Peskov. Mais les accusations d’implication russe dans de grandes opérations de piratage sont devenues monnaie courante à ce stade. Il y a à peine un mois, Biden a sanctionné la Russie pour la SolarWinds violation, dans laquelle au moins neuf agences fédérales distinctes et une centaine d’entreprises privées ont vu leurs réseaux compromis par les services de renseignement russes. « En Russie, nous sommes habitués aux allégations selon lesquelles nous piratons tout le monde et tout », m’a dit ironiquement Lukatsky.

Pendant ce temps, les forums sur la cybercriminalité en langue russe qui fonctionnaient historiquement comme un marché pour DarkSide ont banni le groupe de leurs portails. Le mot «rançon» «est devenu dangereux et toxique», a écrit un administrateur, notant que la dernière chose que veulent les hackers criminels russes et leurs associés est de créer des problèmes pour le Kremlin. «Peskov est obligé de trouver des excuses devant nos« amis »d’outre-mer – c’est un non-sens et un signe que les choses sont allées trop loin.

Mais personne ne s’attend à ce que la pratique disparaisse. Un certain nombre des plus grandes sociétés de ransomware-as-a-service ont annoncé qu’elles allaient opérer en mode «privé», cessant de faire de la publicité sur le Dark Web et n’acceptant que les pirates affiliés qu’ils connaissent et en qui ils ont confiance. Ils ont également déclaré qu’ils joueraient un rôle plus actif dans la vérification et l’approbation des objectifs à l’avance. Quant à DarkSide lui-même, il sera probablement regroupé et renommé en tant que nouveau produit – une sorte de récupération très technologique après une extinction publique. «Ces personnes ne restent pas sans travail pour toujours», a déclaré Dmitry Volkov, directeur de la technologie de Group-IB, une société de cybersécurité de Moscou.

#Comment #piratage #est #devenu #service #professionnel #Russie

À propos de l\'auteur de l\'article

Dernières nouvelles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *