Oups, le gang Conti sort renforcé d’une cyberattaque éthique
L’entreprise de cybersécurité Prodaft a réussi la prouesse de hacker le serveur d’un gang cybercriminel, dans l’espoir de le démanteler de l’intérieur. Problème : cette surveillance n’a pas porté ses fruits. Pire encore, le groupe Conti semble ressortir plus fort de cette mésaventure.
Pas si facile de faire la nique à un gang cybercriminel ! Pourtant, l’entreprise suisse Prodaft avait réussi un coup d’éclat rare. Dans une analyse publiée le 18 novembre, elle explique comment elle a hacké un serveur de Conti, un des groupes de cybercriminels les plus actifs des deux dernières années. Mais, malgré son accès privilégié, elle n’a pas réussi à le mettre hors d’état de nuire.
Conti opère un rançongiciel, un logiciel malveillant capable de paralyser l’activité d’une entreprise pour lui proposer ensuite un déblocage contre le paiement d’une rançon. Pour accompagner cette prise en otage des données, le gang -à l’instar de ses semblables- possède un portail de négociation, un site web qu’il maintient lui-même, sur lequel il discute du paiement de la rançon avec les représentants de la victime. En cas de paiement (une décision unanimement déconseillée par les spécialistes), il transmettra le code nécessaire au déchiffrement des données par ce canal.
Pendant un mois, Prodaft a eu accès aux commandes de ce site de négociation. Pour y parvenir, ils ont trouvé l’adresse IP du serveur [une adresse attribuée à chaque machine pour la situer sur Internet, Ndlr] dissimulée par plusieurs subterfuges, grâce à
Oups, le gang Conti sort renforcé d’une cyberattaque éthique
l’exploitation d’une vulnérabilité. Autrement dit, ils ont hacké les cybercriminels, découvert l’adresse 217.12.204 propriété d’un hébergeur ukrainien, puis obtenu l’accès au serveur. Mais ce qui semble a priori un coup dur pour Conti n’a finalement pas eu l’effet escompté.
Des informations inexploitables sur les cybercriminels
De l’intérieur, les chercheurs de Prodaft ont pu noter les adresses IP des machines qui communiquaient avec le serveur des malfaiteurs. Parmi elles, forcément, des ordinateurs appartenant aux victimes et à leurs prestataires. Mais aussi, des adresses IP depuis lesquelles les cybercriminels lançaient des commandes sur le serveur.
Malheureusement, ces informations ont été insuffisantes pour remonter jusqu’aux membres de Conti ou même jusqu’à leurs machines. Et pour cause : tous les cybercriminels ont appliqué une précaution de base, en utilisant le réseau Tor pour se connecter au portail de négociation. Résultat : les adresses IP récupérées par les chercheurs correspondaient à des noeuds Tor, c’est-à-dire à des serveurs par lesquels transitent le trafic de plusieurs ordinateurs.
À partir de là, impossible pour eux de remonter jusqu’à la source du trafic, c’est-à-dire à la machine utilisée par les cybercriminels. Et pour cause : Tor « masque » l’adresse IP de ses utilisateurs en faisant passer sa connexion par au moins trois noeuds, des serveurs maintenus bénévolement. Grâce à un fonctionnement spécifique, chaque noeud ne connaît que l’adresse IP du précédent, et seul le premier noeud connaît l’adresse IP de la machine de l’utilisateur. Résultat : remonter à la source à partir du troisième noeud relève du quasi-impossible. Un des problèmes de ce mode de fonctionnement anonyme, c’est que les requêtes deviennent très lentes par rapport à une navigation classique par Chrome, Firefox, ou Safari.
Si les chercheurs n’ont pas réussi à identifier les membres du gang, ils ont tout de même récupéré dans leur moisson une version “hashée” (c’est-à-dire modifiée par un algorithme) du mot de passe du serveur. Selon la complexité de l’identifiant, il pourrait être possible de le découvrir, mais ce trésor de guerre reste avant tout symbolique.
Les cybercriminels en ressortent plus forts... et plus arrogants
D’après The Record, le gang hacké a mis son portail de paiement hors ligne peu après la publication de Prodaft. En conséquence, pendant un peu plus de 24 heures, le temps que le gang vérifie son infrastructure, ses victimes ne disposaient plus d’aucun moyen pour le contacter.
Une fois l’incident clos, Conti a sorti un communiqué provoquant et insultant sur son site, dans le but, entre autres, de rassurer ses affiliés -les hackers partenaires chargés de lancer les cyberattaques. « Tout fonctionne pour le mieux, notre infrastructure est intacte et nous allons mettre les pleins gaz », préviennent les cybercriminels. Ils vont même jusqu’à lancer une pique aux chercheurs :
« Aucune information essentielle sur nos équipes ou nos réseaux n’a été révélée. L’incident a été le déclencheur nécessaire pour nous pousser à faire les vérifications nécessaires, et nous fonctionnons désormais de façon plus fluide et plus sécurisée que jamais. »
Sur ce dernier point, Prodaft s’est attirée les foudres de certains de ses pairs. Si l’entreprise précise qu’elle a partagé ses informations avec les forces de l’ordre, ce genre de collaboration se fait habituellement dans l’ombre, afin de ne pas révéler des informations compromettantes aux cybercriminels. Dans le but, justement, d’éviter qu’ils se rendent compte de leurs faiblesses et ne les réparent avant que les autorités aient pu en tirer de la valeur.
Dommage pour les forces de l’ordre: l’Ukraine, où se trouvait le serveur, a montré dernièrement qu’elle était ouverte à des collaborations, comme dans le cas récent de l’arrestation d’affiliés de REvil, menée par Europol. Mais Conti a désormais changé d’hébergeur, et il peut se reconcentrer sur son activité malveillante. En plus de rançonner ces victimes, le gang a récemment orchestré la réapparition d’un partenaire de longue date et spécialiste de la vente d’accès, le botnet Emotet, le logiciel malveillant le « plus dangereux du monde » d’après Europol,.