Des serveurs piégés ont permis d’observer les catégories de hackers
Grâce à des serveurs volontairement exposés et équipés d’outils d’interception, des chercheurs ont pu observer les pirates à l’œuvre. Ils en tirent cinq archétypes de hackers tout droit sortis de l’heroic fantasy: rangers, voleurs, bardes, barbares et magiciens.
Pendant trois ans, des chercheurs canadiens de GoSecure ont observé des hackers à l’œuvre pour dresser une typologie des pirates digne de Donjons & Dragons, ainsi qu’ils l’ont expliqué lors de la conférence BlackHat. Pour espionner les pirates, ils ont créé un piège: un «pot de miel» composé de plusieurs serveurs Windows RDP exposés dans le cloud. On se souvient que lors du confinement, les attaques exploitant ce protocole permettant aux utilisateurs distants de se connecter avaient explosé.
Et les chercheurs en cybersécurité ont doté le pot de miel d’un système de surveillance, en l’occurence PyRDP, un outil d’interception Man-in-the-Middle capable d’enregistrer toute l’activité des pirates (clavier, écran, clipboard, collecte de fichiers) et un lecteur pour rejouer les sessions après coup.
En trois ans, Andréanne Bergeron et Olivier Bilodeau ont ainsi accumulé plus de 190 millions d'événements, dont 100 heures de vidéo, 470 fichiers collectés auprès d'acteurs malveillants et plus de 20’000 captures RDP.
Rangers, voleurs, bardes, barbares et magiciens
A partir des données collectées, ils ont classer les pirates en cinq profils tout droit inspirés de l’Heroic Fantasy:
Les rangers, qui effectuent avant tout un travail de reconnaissance, explorant les fichiers de l’ordinateur, vérifiant le réseau et la performance de l’hôte, exécutant des scripts.
Les voleurs, qui cherchent à monétiser l’accès RDP (une étude de Kaspersky avait montré que de tels accès se monnaient 2’000 dollars sur le darkweb). Une fois qu’ils ont pris le contrôle de la machine et modifié ses codes d’accès, ils cherchent à en tirer parti, par exemple avec des outils pour monétiser le trafic (proxyware) et l’installation de cryptomineurs.
Les bardes, apparemment sans compétences de piratage et qui ont peut-être acheté l’accès RDP. Ils se contentent d’activités «basiques», comme effectuer des recherches Google ou regarder de la pornographie.
Les barbares, qui exploitent toute une gamme d’outils pour pénétrer l’ordinateur «en force», et qui se servent du système infecté pour atteindre d’autres systèmes en recourant à des listes d’adresses IP, noms d’utilisateurs et mots de passe.
Les magiciens, des hackers avec un grand savoir-faire, qui exploitent l’accès RDP pour se connecter à un autre ordinateur compromis de façon similaire, de manière à camoufler leur identité.
Les chercheurs promettent qu’après avoir dressé cette typologie, ils vont également dévoiler des informations sur l’arsenal utilisé par les pirates. Ils expliquent que leur technique d’interception pourrait servir aux spécialistes en cybersécurité et aux forces de l’ordre pour mieux connaître le modus operandi des hackers. Cerise sur le gâteau, la technique pourrait dissuader les pirates, expliquant les chercheurs: «si les attaquants sont suffisamment effrayés, ils devront modifier leurs stratégies, ce qui influencera le rapport coût-bénéfice de leurs attaques et entraînera un ralentissement dont tout le monde profitera en fin de compte».
