Deux chercheurs en sécurité viennent de dévoiler les résultats d’une étude unique sur les pirates informatiques. Le duo, composé d’une criminologue et d’un ingénieur, est en effet parvenu à espionner des hackers pendant une centaine d’heures. Les conclusions de l’étude ont été présentées lors de la conférence Black Hat USA, un événement annuel qui rassemble les experts en cybersécurité.
À lire aussi : Interpol démantèle 16shop, le supermarché du phishing
Des pirates piégés par des serveurs
Pour piéger les cybercriminels, les chercheurs se sont servis de plusieurs serveurs Windows. Volontairement vulnérables, ces serveurs étaient configurés avec le Remote Desktop Protocol (RDP), un protocole de communication développé par Microsoft qui permet à un utilisateur de se connecter à un ordinateur depuis un autre emplacement. Les hackers pouvaient donc contrôler à distance les serveurs.
« C’est fondamentalement comme une caméra de surveillance pour le système RDP parce que nous voyons tout », explique Andréanne Bergeron, docteure en criminologie de l’Université de Montréal, à nos confrères de TechCrunch.
Cet appât a été mis en place il y a trois ans. Depuis, les deux experts ont récolté 190 millions d’événements, dont 100 heures de séquences vidéo et 470 fichiers, à l’aide du PyRDP, un outil d’interception open source taillé pour le RDP. C’est grâce à ce dispositif que les chercheurs ont pu suivre tout ce que les pirates faisaient sur les serveurs. Sur base des données collectées, la criminologue a étudié « le comportement des attaquants ».
Les cinq catégories de cybercriminels
L’experte a ensuite classé les pirates en plusieurs catégories en fonction de leur manière d’agir. Pour dresser les différents groupes, elle s’est inspirée de Donjons et Dragons (Dungeons & Dragons en anglais, souvent abrégé en D&D), le célèbre jeu de rôles. Dans celui-ci, les joueurs peuvent créer des personnages qui appartiennent à différentes classes, chacune avec ses propres caractéristiques, compétences et aptitudes.
Le premier type de cybercriminels identifié dans l’étude s’intitule le rôdeur. Ce genre d’attaquant se contente de rôder, comme son nom l’indique, sur le système compromis. Il va notamment explorer tous les dossiers stockés sur l’ordinateur, vérifier les caractéristiques du réseau et lancer des programmes et des scripts. Discret, le pirate ne va pas déployer des offensives. Selon l’étude, le rôdeur prépare le terrain pour qu’un autre type de hackers débarque sur l’ordinateur compromis.
Ensuite, on trouve le voleur. Celui-ci cherche immédiatement à gagner de l’argent grâce au système dont il a pris le contrôle. Tout en restant furtif, il va modifier les informations d’identification, comme le mot de passe, afin d’être certain que l’utilisateur ne puisse plus s’y connecter. Pour générer des bénéfices, le voleur va par exemple installer des navigateurs monétisés, qui rémunèrent les internautes ou des logiciels de minage de cryptomonnaies. Dans d’autres cas, le pirate va installer un émulateur de smartphone Android. Ce logiciel permet d’orchestrer des opérations frauduleuses qui nécessitent un accès mobile. Enfin, le voleur se distingue aussi par l’utilisation d’un proxyware. Ce type de programme malveillant peut rediriger le trafic d’un appareil vers un serveur compromis, généralement afin de voler des données.
En troisième lieu, l’étude épingle le barbare. Agressif et ambitieux, ce genre de criminels cherche à tout prix à infecter plus d’ordinateurs. Après avoir pris le contrôle d’un système, il va « tenter de compromettre d’autres systèmes en travaillant avec des listes d’adresses IP, de noms d’utilisateur et de mots de passe ». Le barbare se montre très offensif dès son arrivée sur le serveur. Par ailleurs, il se sert d’outils comme Masscan, qui peut balayer l’ensemble de l’Internet en moins de six minutes, pour tenter des attaques par force brute. Cette tactique consiste à deviner les informations d’identification.
Vient ensuite le magicien. Habile, il se sert de la machine compromise pour brouiller les pistes et cacher son identité. Pour ça, le pirate se connecte à un autre ordinateur, également sous sa coupe. Cette tactique lui permet de camoufler la provenance de ses attaques.
Enfin, on trouve le barde. Cette dernière catégorie n’a pas de compétences en matière de piratage. Pour obtenir un accès au système, il s’est tourné vers un autre type de hackers. Celui-ci lui a simplement vendu les identifiants. Une fois qu’il a pénétré sur le serveur, le barde accomplit des « tâches de base », comme une recherche de virus sur Google. Parfois, il regarde juste du porno, ce qui est potentiellement interdit dans son pays. Il se sert plus volontiers d’un smartphone que d’un ordinateur. Dans certains cas, le barde télécharge des vidéos pornographiques avant de les envoyer sur son compte Telegram, vraisemblablement pour les vendre ultérieurement.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : GoSecure
Hallucinant la méconnaissance de ce monde.
Sacré chercheurs de vide oui!
Les études c’est bien mais ca a aussi des limites.
Anonymous n’a aucune limite!
qui peut balayer l’ensemble de l’Internet en moins de six minutes,
Mais bien sûr 😀
Certains y arrivent en moins de temps que ça! 😉