News
Etude de Sophos : des cybercriminels organisent des concours sur leurs forums afin de susciter de nouvelles méthodes d’attaque et d’évasion
septembre 2023 par Sophos
Sophos a découvert des concours de chercheurs organisés sur des forums cybercriminels dans le but de susciter de nouvelles méthodes d’attaque et d’évasion pour échapper à la détection. S’inspirant des appels à contribution légitimes dans le cadre des conférences, ces concours apportent aux vainqueurs des gains financiers considérables ainsi que la reconnaissance de leurs pairs, voire des emplois potentiels. Comme l’explique le dernier rapport en date de Sophos X-Ops intitulé For the Win ? Offensive Research Contests on Criminal Forums, ces compétitions sont conçues pour stimuler l’innovation. L’analyse des différentes contributions offre de précieuses indications sur les façons dont les cybercriminels tentent de contourner les obstacles de sécurité.
Bien que les compétitions sur les forums criminels ne datent pas d’aujourd’hui, elles ont évolué au fil des années. Alors que les premiers concours entre cybercriminels portaient sur des quiz, des épreuves de conception graphique ou des devinettes, ils invitent désormais les auteurs d’attaques à « soumettre » des articles sur des sujets techniques, en les accompagnant de code source, de vidéos et/ou de copies d’écran. Au vu des propositions, tous les utilisateurs du forum sont alors appelés à voter pour désigner le vainqueur. Cependant, ce vote n’est pas totalement transparent, car les responsables du forum et les organisateurs du concours ont eux aussi voix au chapitre.
« Le fait que des cybercriminels organisent, disputent ou même sponsorisent ces concours laisse penser qu’ils ont pour objectif commun de faire progresser leurs tactiques et leurs techniques. Il semble même que ces compétitions servent d’outil de recrutement parmi les principaux groupes malveillants », commente Christopher Budd, directeur de recherche sur les menaces chez Sophos. « Si notre étude révèle un regain d’intérêt pour des thèmes liés au Web3 (cryptomonnaies, contrats intelligents, NFT…), bon nombre des contributions récompensées ont une portée plus vaste et un usage pratique, quand bien même elles ne sont pas particulièrement révolutionnaires. Cela pourrait refléter les priorités de la communauté cybercriminelle, mais aussi indiquer que les auteurs d’attaques préfèrent conserver jalousement leurs techniques les plus efficaces pour leur propre compte. »
Sophos X-Ops a étudié deux des principaux concours annuels : l’un, organisé par le forum cybercriminel russophone Exploit, offrait en 2021 une dotation totale de 80 000 dollars au vainqueur, tandis que l’autre, sur le forum XSS, était doté de 40 000 dollars en 2022. Depuis plusieurs années, ces événements sont sponsorisés par des membres en vue de la communauté cybercriminelle, notamment All World Cards et Lockbit.
Le concours le plus récent sur Exploit avait pour thème les cryptomonnaies, tandis que XSS a ouvert le sien à une gamme de sujets allant de l’ingénierie sociale et des vecteurs d’attaque aux techniques d’évasion et d’escroquerie. De nombreux lauréats se sont concentrés sur l’abus d’outils légitimes, par exemple Cobalt Strike. Un finaliste a proposé un tutoriel destiné à cibler les ICO, c’est-à-dire les levées de fonds pour une nouvelle cryptomonnaie, et un autre pour la manipulation de jetons de privilège permettant de désactiver Windows Defender.
