Posté le août 9, 2023 à 6:12
DES CHERCHEURS OBSERVENT UN HACKER PASSANT 100 HEURES À COMPROMETTRE DES ORDINATEURS HONEYPOT
Deux chercheurs en sécurité ont observé qu’un hacker a pris le contrôle d’un ordinateur et a commencé à mener une campagne malveillante. Les chercheurs ont utilisé un vaste réseau d’ordinateurs créé comme honeypot (ou pot de miel) pour tromper les acteurs de menaces.
Des chercheurs déploient des serveurs Windows exposés pour tromper les hackers
Les chercheurs à l’origine de cette campagne ont utilisé plusieurs serveurs Windows exposés à l’internet avant de les configurer avec le protocole de bureau à distance (RDP). Ainsi, les hackers pouvaient prendre le contrôle à distance du serveur compromis comme s’ils étaient des utilisateurs réguliers. Les hackers pouvaient taper et cliquer après avoir obtenu l’accès.
Les pots de miel ont également permis aux chercheurs en sécurité d’enregistrer 190 millions d’événements et 100 heures de vidéos de ces hackers prenant le contrôle des serveurs et menant plusieurs campagnes malveillantes. Ces campagnes comprenaient l’installation de logiciels malveillants pour extraire des cryptomonnaies, la fraude au clic et l’attaque par force brute de mots de passe pour d’autres appareils.
La campagne a aussi permis aux hackers de cacher leurs identités en utilisant un honeypot comme point de départ. Selon les chercheurs, un hacker pouvait réussir à se connecter au honeypot pour générer des dizaines d’événements par lui-même.
Andréanne Bergeron a déclaré que la recherche était similaire à la mise en place d’une caméra de surveillance pour le système RDP. Les deux chercheurs en sécurité ont présenté leurs résultats lors de la conférence Black Hat 2023 à Las Vegas.
Les hackers avaient des techniques et des comportements différents
Les chercheurs ont déclaré que les hackers à l’origine de la campagne étaient classés en différentes catégories.
Un billet de blog publié par les chercheurs indique que la catégorie de hackers « Rangers » a évalué le système compromis afin qu’un autre profil d’attaquants puisse effectuer une autre attaque.
D’autre part, les hackers de la catégorie « Barbarians » (barbares) ont utilisé des ordinateurs compromis dans le pot de miel pour tenter une campagne de force brute en utilisant des noms d’utilisateur et des mots de passe connus. L’autre catégorie de hackers est celle des « Wizards », qui utilisent le pot de miel pour se relier à d’autres ordinateurs afin de dissimuler leur activité et l’origine des attaques.
Les chercheurs en sécurité ont par ailleurs indiqué que les systèmes de sécurité peuvent collecter des informations sur les menaces auprès de ces hackers afin de pénétrer en profondeur dans le système compromis. Les chercheurs ont également constaté l’existence d’une autre catégorie d’acteurs de la menace, les « voleurs ». Ces hackers avaient des objectifs clairs pour monétiser l’accès aux pots de miel.
La catégorie des « Thieves » (voleurs) peut rentabiliser ses activités de piratage en installant des programmes de minage de crypto-monnaies. Ces programmes pratiquent la fraude au clic et génèrent un faux trafic vers les sites web qu’ils contrôlent. Ils peuvent également vendre l’accès à ce pot de miel à d’autres hackers pour maximiser leur financement.
La catégorie de hackers « Bards » (bardes) a des compétences limitées ou nulles. Ces hackers ont utilisé les pots de miel pour manipuler Google afin qu’il recherche des logiciels malveillants. Ils peuvent aussi utiliser leur téléphone portable au lieu d’un ordinateur de bureau ou d’un ordinateur portable pour se connecter à ces pots de miel.
Les deux chercheurs en sécurité ont en outre déclaré que dans certains cas, les hackers utilisaient les ordinateurs compromis pour télécharger des contenus interdits ou censurés dans leur pays d’origine.
Dans l’un des cas, un acteur de la menace téléchargeait des contenus interdits tout en se les envoyant à lui-même via Telegram. Ainsi, ce hacker a réussi à contourner les restrictions en vigueur dans son pays.
Lors d’un entretien avec TechCrunch, l’un des chercheurs a déclaré que l’auteur de la menace avait téléchargé le contenu interdit, puis l’avait téléchargé dans un cybercafé par l’intermédiaire de Telegram. Le hacker peut par la suite installer les données sur des clés USB avant que le même contenu ne soit vendu à d’autres personnes.
Les chercheurs ont ajouté que l’observation de l’interaction entre les hackers et les honeypots pourrait être utile aux chercheurs en cybersécurité qui veulent sauvegarder leurs systèmes. Ces mêmes recherches peuvent également être utiles aux services de police et aux équipes de recherche en cybersécurité.
Le billet de blog de ces chercheurs en sécurité indique par ailleurs que les forces de l’ordre peuvent intercepter les environnements RDP utilisés par les groupes de hackers. Les forces de l’ordre peuvent également recueillir des informations dans les sessions enregistrées et les utiliser pour mener des enquêtes et trouver les auteurs de la campagne de piratage.
« Les équipes bleues, quant à elles, peuvent utiliser les [indicateurs de compromission] et mettre en place leurs propres pièges afin de mieux protéger leur organisation, car cela leur permettra de disposer d’une documentation complète sur les techniques des attaquants opportunistes », ont déclaré les chercheurs.
L’utilisation de pots de miel peut également avoir un effet d’entraînement. Les hackers pourraient soupçonner que leurs serveurs compromis pourraient être des pots de miel, ce qui les obligerait à modifier leurs stratégies. Les hackers décideront donc si le risque de voir leur activité détectée en vaut la peine. Selon les chercheurs, cette activité pourrait ralentir les activités de piratage, ce qui profiterait finalement à tout le monde.