Les mercenaires du cyberespace pénètrent les systèmes informatiques des gouvernements, des institutions financières, des infrastructures essentielles et des entreprises pour ensuite vendre les méthodes d’accès sur un marché du darknet, un secteur du web seulement accessible en utilisant un logiciel spécialisé.
Cette activité se déroule sur un marché noir du darknet appelé le CMarket (pour Criminal Market), anciennement appelé Babylon APT. Le marché a différentes sections, dont une ouverte au public et d’autres accessibles sur invitation seulement. Des pirates informatiques à la solde peuvent aussi y être engagés pour attaquer n’importe quel réseau.
L’entreprise BlackOps Cyber, spécialisée dans le renseignement sur le darknet, a fourni à Epoch Times une analyse, des captures d’écran et des historiques de conversations provenant de ce marché noir. Un agent sous couverture de l’entreprise a réussi à accéder aux sections réservées du marché et s’est rapproché de plusieurs de ses membres.
Selon BlackOps, le site est administré par des pirates de plusieurs pays qui affirment être d’origine latine. Toutefois, selon les chercheurs, le protagoniste principal semble être un pirate affilié au Parti communiste chinois. Cet individu réalise des opérations pour le régime chinois le jour et, dans ses temps libres, il vend sur le marché noir les données sur les entreprises, les gouvernements et d’autres cibles.
« Ça ne le dérange pas de faire cette transition entre le monde criminel et son lieu de travail », indique BlackOps. « Il recrute également dans ce milieu pour ses projets personnels. »
Le groupe CMarket a réuni plusieurs syndicats internationaux du cybercrime, estime BlackOps. Les chercheurs indiquent que lorsque les criminels du CMarket sont trop occupés, ils sous-contractent à une équipe de pirates au Brésil. Certains membres du groupe semblent aussi être des Philippins.
Dans une session de clavardage, un vendeur sur le CMarket a affirmé que le groupe a établi son propre marché parce que les vendeurs dans d’autres marchés du darknet jugeaient que les produits du groupe allaient attirer l’attention des autorités. Il a écrit : « Ils ont peur de nos produits. »
Contrats gouvernementaux
Lorsque les experts en cybersécurité tentent de retracer les origines d’une cyberattaque, les méthodes typiques utilisées sont de porter attention aux outils employés, d’analyser quel genre de groupe pourrait être intéressé dans la cible et d’étudier d’autres cyberattaques qui ont utilisé des outils similaires ou qui avaient des intérêts criminels semblables.
Les découvertes sur le CMarket ne permettent pas d’utiliser ce système d’attribution, alors qu’elles démontrent un croisement assez important entre les gouvernements, les syndicats de cybercrime, les cartels internationaux et les réseaux du crime organisé.
Dans un historique de conversation fourni par un agent sous couverture de BlackOps, un vendeur sur le CMarket a offert l’accès aux appareils piratés d’une cellule terroriste qui serait entraînée pour infiltrer l’Europe de l’Ouest.
« Ce sont tous des partisans actifs et des combattants », a écrit le vendeur, soulignant que les terroristes étaient à ce moment-là en formation et qu’ils « seraient envoyés dans d’autres régions d’Europe. […] Pas tous, mais certains ».
Les pirates du CMarket ont été engagés par un groupe russe pour pénétrer les appareils cellulaires en 2016. Le vendeur a indiqué que le groupe russe planifiait de vendre l’accès aux appareils aux autorités, mais il attendait que la cellule terroriste lance des attaques afin de faire augmenter la valeur des données.
Ça ne le dérange pas de faire cette transition entre le monde criminel et son lieu de travail.
– BlackOps
Le vendeur a écrit : « Les données sur ces combattants augmentent aussitôt qu’ils lancent des opérations. » Il a ajouté : « Bientôt, ces noms seront dans les nouvelles :). »
Le vendeur du CMarket a mentionné que le groupe russe leur avait fourni une cyberarme unique en son genre pour réaliser l’intrusion. Le vendeur a décrit l’outil comme étant « essentiellement un RAT, mais beaucoup plus avancé […] capable d’infecter par des manières qui font rêver les chercheurs » et a souligné qu’ils « ont un gars travaillant à l’université pour développer de nouvelles technologies ».
Un RAT est un remote access Trojan qui peut infecter un ordinateur et permettre au pirate de prendre contrôle de l’appareil ciblé, dont sa webcam.
Certaines données à vendre sur le CMarket visent spécifiquement les intérêts gouvernementaux et militaires.
Dans un des historiques de conversations, un vendeur sur le CMarket a indiqué à un agent sous couverture qu’il avait récemment vendu des bases de données sur l’OTAN et le ministère de la Défense allemand. Il a aussi affirmé qu’il avait encore accès à des systèmes britanniques, dont ceux de l’agence de renseignement MI5 et de la Royal Air Force.
Lorsque l’enquêteur a posé des questions, on lui a dit que les données sur ces entités avaient été recueillies durant une seule opération et contenaient près de 5000 noms d’utilisateurs et mots de passe. « Les membres de cet intranet sont du personnel actif de l’OTAN, du ministère de la Défense et des forces armées », a indiqué le vendeur.
Les données sur les employés gouvernementaux peuvent être utilisées comme point de départ de l’espionnage gouvernemental.
Le cybercriminel a aussi affirmé que son groupe avait commencé à infiltrer l’Université du Qatar, soulignant que « cette université est la seule affiliée à l’État dans le pays ». Les intrusions dans les universités sont d’habitude profitables pour accéder à des projets de recherche ou pour cibler les professeurs dans des campagnes d’influence.
Un onglet sur le marché du site pour les « Attaques contre les gouvernements » mentionne des données et des accès à vendre, dont « des données sur les élections fédérales et les identités personnelles » du Mexique ainsi que l’accès aux « serveurs gouvernementaux » du Mexique. Obtenir l’accès aux données électorales peut aider les cyberespions à schématiser le système électoral du pays ciblé, tandis que l’accès aux serveurs gouvernementaux permet aux pirates d’infiltrer d’autres systèmes dans le réseau du gouvernement.
Les données sur les employés gouvernementaux peuvent être utilisées comme point de départ de l’espionnage gouvernemental, alors que les pirates tentent habituellement de s’introduire dans les ordinateurs des employés pour accéder aux diverses agences.
Un autre vendeur offrait l’accès aux systèmes SCADA, ceux qui sont utilisés pour contrôler les pièces mobiles dans les infrastructures essentielles comme les centrales électriques. Les cybercriminels vendaient chaque accès entre 3 et 5 bitcoins (environ 8500 $ à 14 000 $ [5800 € à 9600 €]), affirmant qu’ils avaient plusieurs cibles disponibles.
Réseaux criminels
Plusieurs articles sur le marché visaient spécifiquement les intérêts des cartels et organisations criminelles.
Une offre était pour l’accès au système d’identification des navires de la Garde côtière américaine permettant de surveiller et d’identifier les mouvements des navires, dont ceux utilisés par les autorités. Les fichiers étaient vendus entre 5 et 7 bitcoins (14 000 $ à 20 000 $ [9600 € à 13 700 €]).
Parmi les autres offres, il y avait les identités et informations personnelles d’agents de la Police fédérale du Brésil. Le message notait que certains des agents identifiés « ont participé à l’opération darkode », se référant au démantèlement du forum de cybercrime Darkode dans 20 pays par le FBI et autres forces policières.
Une autre annonce offrait l’accès à la base radio d’une grande entreprise de télécommunications en Amérique latine. Les données comprenaient « location radio pour cyberespionnage avancé » disponibles entre 7 et 10 bitcoins (20 000 $ à 30 000 $ [13 700 € à 20 500 €]).
Une autre annonce offrait l’accès à un important projet de télécommunication à travers le Mexique et annonçait les données de 32 États et 26 municipalités. L’annonce indiquait que cinq procureurs d’État mexicains utilisent le système unifié d’information criminelle et que les données volées pourraient offrir un accès indirect au système par l’entremise des données volées de l’Institut de migration nationale. Les données comprennent également les bases de données du système de sécurité publique nationale mexicaine et de sa force de police fédérale. L’accès au système se vendait entre 100 et 120 bitcoins (293 000 $ à 350 000 $ [200 400 € à 239 400 €]).
BlackOps affirme que l’information, qui est destinée aux cartels de drogue et organisations criminelles, pourrait être utilisée pour identifier des agents sous couverture ou pour surveiller les communications policières.
Plusieurs articles sur le marché visaient spécifiquement les intérêts des cartels et organisations criminelles.
Renseignement économique
Certaines des informations offertes par le CMarket sont plutôt dirigées vers l’espionnage industriel et la compétition économique. De telles données permettraient à une entreprise ou une industrie étatisée de surveiller la compétition, d’obtenir des informations sur les prix et les négociations de contrat et de voler la propriété intellectuelle.
Une des offres privées était pour « toutes entreprises états unis [sic] », telle que décrite par un des cybercriminels à l’agent sous couverture dans une session de clavardage. Le criminel a ajouté : « Toute cette information est détaillée, chaque partie recherchée. »
Les données auraient été volées d’une base de données d’un important média américain. Le cybercriminel a indiqué que l’info comprenait 350 000 fiches sur des individus qui pourraient être ciblés dans le cyberespace afin d’obtenir l’accès aux entreprises.
Une autre offre annonçait l’accès aux « sistem [sic] de vulnérabilité » des lignes aériennes, dont United Airlines et Japan Airlines, et les compagnies de transport UPS et FedEx.
Dans une des conversations, un vendeur offre à l’agent sous couverture les données d’une intrusion contre une grande banque indienne et le marché boursier indien. Le vendeur offrait l’accès à la banque pour 62 000 $ (42 400 €), affirmant que le groupe avait pénétré « l’ordinateur central » de la banque et qu’il était en train de s’assurer que « tout était infecté » et « voir s’ils pouvaient infecter plus d’ordinateurs ». Le vendeur a aussi affirmé que l’intrusion du marché boursier était complétée à 90 %.
Version originale : Hackers Selling Access to Critical Infrastructure on Darknet
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.