Des analystes infiltrés ont récemment rencontré par hasard un hacker, aux compétences plutôt classiques, qui revendait des documents militaires hautement sensibles sur des chars, des drones, des techniques de mitigation d’engins explosifs improvisés (EEI) et bien plus encore … et qui, malgré tous les efforts déployés, n’ont pas réussi à trouver preneur.
Ce dernier était un de ces hackers plutôt minables, ont déclaré les chercheurs : en effet, il ne savait pas combien pouvait coûter ce qu’il avait trouvé, ne savait pas où les vendre, et ne savait pas non plus qui pourrait être intéressé.
Business Insider a cité Andrei Barysevich, un chercheur chez Recorded Future, qui a publié mardi un rapport sur la découverte faite par son équipe de renseignements sur les menaces, connue sous le nom de Groupe Insikt :
Il n’avait aucune idée de combien ces données pouvaient coûter et où et à qui les vendre.
Recorded Future a indiqué que son Groupe Insikt avait repéré pour la première fois une tentative de vente de ce qu’il croyait être des documents militaires de l’US Air Force et de l’armée le 1er juin, tout en surveillant les activités criminelles sur le deep et dark web. Selon le Groupe Insikt, mardi, le pirate n’avait pas encore trouvé preneur, bien qu’il ait réduit à 150$ (environ 130€) le prix demandé sur le DarkNet.
Business Insider souligne le fait que le pirate en question est censé vivre dans «un pays pauvre d’Amérique du Sud». Il s’est plaint d’un manque de bande passante et par conséquent d’une connexion internet lente qui l’a empêché de télécharger le volume de données espéré, avant de trouver un acheteur motivé. Comme il souhaitait conclure une vente rapide, il était prêt à donner gratuitement quelques échantillons aux analystes.
En dépit de sa connexion médiocre, le hacker anglophone prétendait avoir accès à des manuels pour le MQ-9 Reaper, un drone de type “hunter-killer” qui est considéré comme l’une des technologies militaires les plus avancées et meurtrières mises en service au cours des deux dernières décennies, le char de combat M1 Abrams, un cours de formation de peloton de chars, un cours de survie collective et des documents relatifs aux tactiques de mitigation d’engins explosifs improvisés (EEI).
Dans les semaines qui ont suivi la découverte de cette tentative de vente par ce hacker, les analystes du Groupe Insikt ont secrètement maintenu le lien. L’équipe a vérifié que les marchandises du pirate étaient légitimes, a réussi à identifier le nom et le pays de résidence d’un individu associé à un groupe plus important, dont selon elle le sous-groupe du hacker fait partie, et a appris que ces documents militaires avaient été récupérés via une vulnérabilité FTP, déjà divulguée, au niveau de routeurs Netgear, et datant de 2016.
Cette faille d’accès à distance serait le CVE-2016-582384 de Netgear, sur lequel nous avons écrit en décembre 2016.
Comme Netgear l’a signalé à l’époque, et confirmé Recorded Future, la protection d’un périphérique vis-à-vis de cette attaque bien connue et facilement exploitable, passait par la mise en œuvre d’un simple processus en 6 étapes afin de changer le nom d’utilisateur par défaut au niveau d’un routeur Netgear, qui s’avérait être admin (aïe!) et le mot de passe qui, quant à lui, s’avérait être password (aie, aie, aie …).
Le pirate utilisait le moteur de recherche Shodan à la recherche de routeurs mal configurés, utilisant un port standard 21. Une fois que des cybercriminels accrochent une cible de haut niveau trouvée via Shodan, ils peuvent alors compromettre un système et voler ses fichiers.
C’est ainsi que notre hacker en question est entré dans l’ordinateur d’un capitaine du 432d Aircraft Maintenance Squadron Reaper AMU OIC, stationné à la base de Creech Air Force dans le Nevada. Il a volé un cache de documents militaires sensibles, y compris des livres de cours sur l ‘entretien du Reaper et la liste des aviateurs assignés à Reaper AMU. De tels livres ne sont pas, eux-mêmes, classifiés, mais des ennemis potentiels peuvent les utiliser comme un outil pour évaluer les faiblesses au sein d’équipements militaires tels que des véhicules aériens sans pilote (UAV).
Le capitaine venait de terminer le Cyber Awareness Challenge et aurait dû durcir les protections de son ordinateur afin d’empêcher l’accès non autorisé, comme l’a souligné Recorded Future :
Dans ce cas, en définissant un mot de passe FTP.
Le pirate a attiré l’attention des analystes de Recorded Future lorsqu’il s’est enregistré en tant que nouveau membre d’un forum de hackers, et a essayé de vendre les documents du drone MQ-9 Reaper.
Après avoir mis en vente les documents concernant Reaper, le pirate a présenté une autre série de documents militaires, mais cette fois, il n’a pas révélé la source de sa découverte. Recorded Future pense qu’étant donné le contenu, ils ont apparemment été volés au Pentagone ou auprès d’un officier de l’armée.
Cette deuxième série contenait plus d’une douzaine de manuels d’entraînement sur les tactiques de mise en échec des EEI, un manuel d’opération de chars M1 Abrams, un manuel d’entraînement et de survie collectifs et des tactiques de peloton de chars. Encore une fois, les documents n’étaient pas classifiés, mais la plupart n’étaient censés être partagés avec personne d’autre que les agences gouvernementales et les sous-traitants.
Quand il n’était pas en train de rechercher sur Shodan des systèmes militaires non sécurisés ou de nouveaux ordinateurs vulnérables, il faisait passer le temps en regardant des images sensibles et en direct de caméras de surveillance de frontières et d’avions, a raconté le pirate à un analyste du Groupe Insikt. Il s’est également vanté d’avoir eu accès à des images d’un MQ-1 Predator survolant la baie de Choctawhatchee dans le golfe du Mexique : il a publié une capture d’écran réalisée à partir des séquences vidéo de l’avion.
Recorded Future a alerté les responsables américains au sujet de ces violations, après quoi les ordinateurs vulnérables ont été mis hors ligne, coupant ainsi l’accès au pirate. L’entreprise travaille actuellement avec le Department of Homeland Security (DHS) sur les enquêtes en cours.
Barysevich a déclaré à Business Insider que les compétences “au-dessus de celles d’un amateur” du hacker en question donnaient aux chercheurs l’impression que ce dernier faisait partie d’un groupe au sein d’un groupe plus important. En d’autres termes, le(s) cybercriminel(s) semblai(en)t disposer de suffisamment de moyens pour exploiter une vulnérabilité simple :
Je ne dirais pas qu’ils possèdent des compétences avancées de hackers de haut niveau en matière de menaces. Ils ont assez de connaissances pour utiliser le potentiel d’une vulnérabilité très simple et ce de manière cohérente.
Le Groupe Insikt souligne que les secrets militaires ne sont pas des marchandises standards à vendre sur le DarkNet. En fait, il est “incroyablement rare” de trouver de tels documents militaires, a déclaré le groupe. Au contraire, la plupart des ventes concernent des données sensibles telles que les informations personnelles identifiables (IPI), les identifiants de connexion, les données financières et les dossiers médicaux.
Étant donné le type de documents sensibles qu’un hacker médiocre a pu exfiltrer à partir de systèmes militaires vulnérables, eux-mêmes facilement accessibles avec un outil tel que Shodan, nous pouvons imaginer ce qu’un groupe plus déterminé et organisé, avec des ressources techniques et financières plus importantes, aurait pu réaliser, a averti le groupe.
Malheureusement, le gouvernement, qui détient certaines des données les plus sensibles, est à la traîne lorsqu’il s’agit de les protéger, a déclaré le Groupe Insikt :
Le gouvernement est toujours à la traîne en ce qui concerne la formation à la sécurité de ses employés et la protection des secrets d’État. Malheureusement, très peu comprennent l’importance de sécuriser correctement les points d’accès sans fil (WAP), et trop peu de gens utilisent des mots de passe forts et comprennent comment repérer les emails de phishing.
Nous avons bien entendu ? Quelqu’un a bien demandé “Comment repérer les emails de phishing ?”. Nous pouvons vous aider : consultez la liste des signes précurseurs que nous avons fournis lorsque nous avons couvert la campagne de phishing Netflix.
Mots de passe forts ? Voici comment les choisir :
Billet inspiré de Default router password leads to spilled military secrets, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.