Botconf : la nécessité de surveiller les écosystèmes cybercriminels
A la Botconf, on parle évidemment de malwares et de botnets. Mais le cybercrime ne se limite pas à ça, et l’édition 2022, qui se tenait à Nantes, a également fait la part belle aux présentations abordant les écosystèmes cybercriminels.
Face à une professionnalisation et une spécialisation croissante des acteurs malveillants, la seule analyse technique des logiciels malveillants ne suffit plus à rendre compte de l’activité cybercriminelle.
Et l’étude des services comme des lieux virtuels de sociabilité vient éclairer d’une autre lumière l’activité des acteurs malveillants.
Tordre le cou au mythe du forum d’élite
La première conférence de cette série est le fruit d’une collaboration académique entre l’institut de la lutte contre le crime économique (ILCE), basé en Suisse, et l’Université de Montréal. L’objectif ? « Etudier les cybercriminels sur leur propre terrain », résume Luca Brunoni, de l’ILCE. Et vérifier au passage si certains mythes à la peau dure sont vérifiés par les faits.
Pour y parvenir, le chercheur en criminologie David Décary Hétu s’est chargé d’analyser deux forums. Un premier accessible au tout-venant et un autre aux invitations plus “select”. « L’objectif était de comprendre les différences qui existent entre ces deux types de forums, notamment vérifier la réalité du mythe du forum privé rassemblant l’élite des cybercriminels », explique-t-il. Force est de constater que le mythe ne tient pas longtemps : « Contrairement à ce qu’on pourrait penser, nous avons constaté que les offres de ventes pour de nouveaux malwares sont sensiblement équivalentes sur les deux types de forums. Il y a peu de différence en termes de qualité des logiciels malveillants proposés entre les deux plateformes », résume David Décary Hétu.
Seule différence notable : les cybercriminels installés sur des forums plus confidentiels investissent plus de temps à établir leur réputation, contrairement aux forums “publics”. Une différence probablement liée au fait que les plateformes les plus en vue se font plus facilement démanteler, comme en témoigne le récent coup de filet ayant mis fin au tristement célèbre Raidforums.
Si les chercheurs reconnaissent que le sujet de recherche n’en est pour l’instant qu’à ses débuts, et que le nombre de forums étudiés n’est pas suffisamment représentatif, le projet se poursuit. Et ils espèrent être en mesure d’analyser de nouveaux forums pour étayer leurs premiers résultats. « J’ai même obtenu de mon conseil d’éthique l’autorisation de mentir pour pouvoir obtenir un accès à certains forums privés », se réjouit David Décary Hétu sur scène.
Des BotShops à la Botconf
Autre écosystème décortiqué sur la scène de la Botconf : celui des BotShop. A l’instar de la place de marché illégale Genesis. Plus que de simples identifiants volés, ces sites vendent des accès à des “bots” – un terme qui désigne des ordinateurs compromis par un malware voleur d’informations. Pour une somme relativement modique, on peut donc facilement emprunter l’identité d’une personne en ligne. Si nous avions déjà traité de Genesis, l’une des places de marché les plus connues sur ce secteur, d’autres concurrents existent en ligne : Russian market, Amigos, 2Easy, etc. Chaque site a sa propre gamme de prix et de services adaptés aux besoins des cybercriminels.
« Le principal intérêt de ces offres, c’est la persistance qu’ils proposent sur la machine infectée », expliquent sur scène Bryan Oliver et Austin Turecek, de Flashpoint. En effet, un mot de passe compromis se révoque facilement. Mais sur une machine infectée par un logiciel voleur d’informations, cela ne sert pas à grand-chose : les plateformes comme Genesis disposent d’interfaces soigneusement conçues pour avertir l’acheteur qu’une mise à jour d’un mot de passe a été réalisée par la victime et que le nouveau mot de passe a bien été récupéré par le logiciel malveillant.
Voler de l’argent ou des accès
Au-delà du seul mot de passe, les BotShops permettent de voler toutes les informations utilisées pour identifier un utilisateur : la version de son navigateur, son historique de navigation, le système d’exploitation utilisé, etc.
En utilisant un plug-in fourni par le shop, un internaute malveillant peut donc facilement voler l’identité de quelqu’un en ligne et se faire passer pour lui en contournant les vérifications de sécurité qui peuvent être mises en œuvre par des fournisseurs de services. « Au total, le plug-in fourni par Genesis permet d’imiter plus de 36 paramètres. Les logiciels modernes de vol d’informations proposent une large gamme de types d’informations volées, dans le but de pouvoir créer ces fausses identités en ligne », expliquent les deux chercheurs.
Ce nouvel écosystème représente à la fois un moyen facile de voler de l’argent, en vidant par exemple des comptes en banque ou des porte-monnaie de cryptoactifs, mais aussi en détournant les comptes d’utilisateurs de réseaux sociaux. Enfin, ces accès peuvent également être utilisés comme porte d’entrée sur un réseau d’entreprise : c’est notamment la méthode qui semble avoir été utilisée par les pirates de la société Electronics Arts au mois de juin 2021. Selon les déclarations d’un des pirates auprès des journalistes de Vice, l’accès initial aurait été acheté par les attaquants sur la place de marché Genesis, leur offrant notamment un accès aux canaux de support informatique de la société afin de réinitialiser les mots de passe de l’utilisateur piraté.
L’écosystème fluctuant du carding
Dernière conférence et dernier écosystème abordé, celui des sites de “carding”. C’est le nom donné à l’activité cybercriminelle spécialisée dans le vol et l’exploitation des données de cartes bancaires. Comme l’expliquent les chercheuses Lidia Lopez et Beatriz Pimenta de la société Blueliv, les premières analyses sur cet écosystème ont débuté suite à la fermeture volontaire d’un important site de revente de cartes volées, The Joker’s stash. « Nous avons cherché à étudier cet écosystème pour comprendre quels nouveaux acteurs viendraient prendre la place laissée par cet acteur », expliquent-elles sur scène.
Le petit monde du carding s’alimente par plusieurs moyens : cela peut aller de l’utilisation de “skimmers” physiques – des appareils conçus pour être fixés sur des distributeurs automatiques et voler les données bancaires – jusqu’à l’utilisation de leurs équivalents numériques sur des sites d’e-commerce – les attaques de type Magecart. Enfin, l’utilisation de malwares voleurs d’informations, comparables à ceux utilisés par les BotShops, est également toujours d’actualité.
Les chercheuses de Blueliv ont détaillé sur scène plusieurs exemples de sites et de forums spécialisés qui ont tenté de profiter du vide laissé par la disparition d’un gros acteur, certains n’hésitant pas à proposer des lots de données de cartes bancaires gratuites pour attirer le chaland.
Mais ce qui caractérise cette communauté, c’est avant tout le caractère fluctuant de ses acteurs. « Le motif le plus commun de fermeture d’une de ces places de marché, ce sont les administrateurs qui partent avec la caisse. Nous avons relevé de nombreux commentaires d’utilisateurs qui se plaignaient d’avoir perdu de l’argent dans ce type d’escroquerie », relèvent les chercheuses. Une instabilité chronique qui favorise d’ailleurs le développement d’arnaques en tout genre dans cet écosystème, de nombreux sites visant à imiter des places de marchés connues et récemment fermées, notamment en multipliant les attaques de “typosquatting”.
Garder un coup d’avance
L’étude de ces écosystèmes sera un enjeu pour le futur, comme le soulignait Eric Freyssinet, organisateur de l’événement et général de gendarmerie au sein du nouveau Comcybergend, le pôle de la gendarmerie dans le cyberespace. « L’une des principales difficultés que nous rencontrons, c’est le caractère extrêmement dynamique, en constante évolution » de cette criminalité d’un nouveau genre, explique-t-il. « La rapidité de ces évolutions ne s’accommode pas toujours du temps nécessaire aux investigations. Ce qu’une victime nous décrit peut avoir complètement changé trois mois plus tard. Nous avons besoin d’anticiper sur ces évolutions : comprendre et étudier les endroits où s’organisent les futures infractions, ce que les cybercriminels préparent, autrement il sera trop tard. »
