Imaginez pouvoir vous asseoir derrière un hacker et l’observer prendre le contrôle d’un ordinateur et jouer avec.
C’est à peu près ce qu’ont fait deux chercheurs en sécurité grâce à un vaste réseau d’ordinateurs mis en place comme pot de miel pour les pirates.
Les chercheurs ont déployé plusieurs serveurs Windows délibérément exposés sur Internet, configurés avec Remote Desktop Protocol, ou RDP, ce qui signifie que les pirates pourraient contrôler à distance les serveurs compromis comme s’ils étaient des utilisateurs réguliers, pouvant taper et cliquer.
Grâce à ces pots de miel, les chercheurs ont pu enregistrer 190 millions d’événements et 100 heures de séquences vidéo de pirates prenant le contrôle des serveurs et exécutant une série d’actions sur ceux-ci, y compris la reconnaissance, l’installation de logiciels malveillants qui minent les crypto-monnaies, l’utilisation d’émulateurs Android pour effectuer cliquer sur la fraude, forcer brutalement les mots de passe pour d’autres ordinateurs, cacher l’identité des pirates en utilisant le pot de miel comme point de départ pour une autre attaque, et même regarder du porno. Les chercheurs ont déclaré qu’un pirate informatique réussissant à se connecter à son pot de miel peut générer à lui seul « des dizaines d’événements ».
« C’est essentiellement comme une caméra de surveillance pour le système RDP parce que nous voyons tout », Andréanne Bergeron, qui a un doctorat. en criminologie de l’Université de Montréal, a déclaré à TechCrunch.
Bergeron, qui travaille également pour la firme de cybersécurité GoSecure, a travaillé avec son collègue Olivier Bilodeau sur cette recherche. Les deux ont présenté leurs conclusions mercredi lors de la conférence sur la cybersécurité Black Hat à Las Vegas.
Les deux chercheurs ont classé le type de pirates en fonction de Donjons et Dragons types de caractères.
Les «Rangers», selon les deux, ont soigneusement exploré les ordinateurs piratés, faisant des reconnaissances, changeant parfois les mots de passe, et la plupart du temps en rester là. « Notre hypothèse est qu’ils évaluent le système qu’ils ont compromis afin qu’un autre profil d’attaquant puisse revenir plus tard », ont écrit les chercheurs dans un article de blog publié mercredi pour accompagner leur intervention.
Les «Barbarians» utilisent les ordinateurs pot de miel compromis pour essayer de forcer brutalement d’autres ordinateurs en utilisant des listes connues de noms d’utilisateur et de mots de passe piratés, parfois en utilisant des outils tels que Masscan, un outil légitime qui permet aux utilisateurs de scanner par port l’ensemble d’Internet, selon les chercheurs. .
Les « sorciers » utilisent le pot de miel comme plate-forme pour se connecter à d’autres ordinateurs dans le but de cacher leurs traces et l’origine réelle de leurs attaques. Selon ce que Bergeron et Bilodeau ont écrit dans leur article de blog, les équipes défensives peuvent recueillir des renseignements sur les menaces sur ces pirates et « approfondir l’infrastructure compromise ».
Selon Bergeron et Bilodeau, les « voleurs » ont pour objectif clair de monétiser leur accès à ces pots de miel. Ils peuvent le faire en installant des crypto-mineurs, des programmes pour effectuer des fraudes au clic ou générer un faux trafic vers les sites Web qu’ils contrôlent, et en vendant l’accès au pot de miel lui-même à d’autres pirates.
Enfin, les « Bardes » sont des hackers avec très peu ou presque pas de compétences. Ces pirates ont utilisé les pots de miel pour utiliser Google pour rechercher des logiciels malveillants et même regarder du porno. Ces pirates utilisaient parfois des téléphones portables au lieu d’ordinateurs de bureau ou portables pour se connecter aux pots de miel. Bergeron et Bilodeau ont déclaré croire que ce type de pirate informatique utilise parfois les ordinateurs compromis pour télécharger de la pornographie, quelque chose qui peut être interdit ou censuré dans leur pays d’origine.
Dans un cas, un pirate informatique « téléchargeait le porno et se l’envoyait via Telegram. Donc, en gros, contournant une interdiction de la pornographie au niveau national », a déclaré Bilodeau à TechCrunch. « Ce que je pense [the hacker] fait avec cela, puis le télécharge dans un cybercafé, en utilisant Telegram, puis il peut le mettre sur des clés USB, et il peut le vendre.
Bergeron et Bilodeau ont conclu que pouvoir observer les pirates interagir avec ce type de pots de miel pourrait être très utile non seulement pour les chercheurs comme eux, mais aussi pour les forces de l’ordre ou les équipes défensives de cybersécurité – également appelées équipes bleues.
« Les forces de l’ordre pourraient légalement intercepter les environnements RDP utilisés par les groupes de rançongiciels et collecter des renseignements lors de sessions enregistrées à utiliser dans les enquêtes », ont écrit les chercheurs dans le billet de blog. « Les équipes bleues quant à elles peuvent consommer le [Indicators of Compromise] et déploient leurs propres pièges afin de protéger davantage leur organisation, car cela leur fournira une documentation complète sur l’artisanat des attaquants opportunistes.
De plus, si les pirates commencent à soupçonner que les serveurs qu’ils compromettent peuvent être des pots de miel, ils devront changer de stratégie et décider si les risques d’être pris en valent la peine, « conduisant à un ralentissement qui profitera finalement à tout le monde », selon le des chercheurs.
En savoir plus sur TechCrunch :