Les chercheurs ont observé 100 heures de pirates informatiques piratant des ordinateurs honeypot

Imaginez pouvoir vous asseoir derrière un hacker et l’observer prendre le contrôle d’un ordinateur et jouer avec.

C’est à peu près ce qu’ont fait deux chercheurs en sécurité grâce à un vaste réseau d’ordinateurs mis en place comme pot de miel pour les pirates.

Les chercheurs ont déployé plusieurs serveurs Home windows délibérément exposés sur Web, configurés avec Distant Desktop Protocol, ou RDP, ce qui signifie que les pirates pourraient contrôler à distance les serveurs compromis comme s’ils étaient des utilisateurs réguliers, pouvant taper et cliquer.

Grâce à ces pots de miel, les chercheurs ont pu enregistrer 190 tens of millions d’événements et 100 heures de séquences vidéo de pirates prenant le contrôle des serveurs et exécutant une série d’actions sur ceux-ci, y compris la reconnaissance, l’set up de logiciels malveillants qui minent les crypto-monnaies, l’utilisation d’émulateurs Android pour effectuer cliquer sur la fraude, forcer brutalement les mots de passe pour d’autres ordinateurs, cacher l’identité des pirates en utilisant le pot de miel comme level de départ pour une autre attaque, et même regarder du porno. Les chercheurs ont déclaré qu’un pirate informatique réussissant à se connecter à son pot de miel peut générer à lui seul “des dizaines d’événements”.

“C’est essentiellement comme une caméra de surveillance pour le système RDP parce que nous voyons tout”, Andréanne Bergeron, qui a un doctorat. en criminologie de l’Université de Montréal, a déclaré à TechCrunch.

Bergeron, qui travaille également pour la firme de cybersécurité GoSecure, a travaillé avec son collègue Olivier Bilodeau sur cette recherche. Les deux ont présenté leurs conclusions mercredi lors de la conférence sur la cybersécurité Black Hat à Las Vegas.

Les deux chercheurs ont classé le kind de pirates en fonction de Donjons et Dragons sorts de caractères.

Les «Rangers», selon les deux, ont soigneusement exploré les ordinateurs piratés, faisant des reconnaissances, changeant parfois les mots de passe, et la plupart du temps en rester là. “Notre hypothèse est qu’ils évaluent le système qu’ils ont compromis afin qu’un autre profil d’attaquant puisse revenir plus tard”, ont écrit les chercheurs dans un article de weblog publié mercredi pour accompagner leur intervention.

Les «Barbarians» utilisent les ordinateurs pot de miel compromis pour essayer de forcer brutalement d’autres ordinateurs en utilisant des listes connues de noms d’utilisateur et de mots de passe piratés, parfois en utilisant des outils tels que Masscan, un outil légitime qui permet aux utilisateurs de scanner par port l’ensemble d’Web, selon les chercheurs. .

Les “sorciers” utilisent le pot de miel comme plate-forme pour se connecter à d’autres ordinateurs dans le however de cacher leurs traces et l’origine réelle de leurs attaques. Selon ce que Bergeron et Bilodeau ont écrit dans leur article de weblog, les équipes défensives peuvent recueillir des renseignements sur les menaces sur ces pirates et « approfondir l’infrastructure compromise ».

Selon Bergeron et Bilodeau, les « voleurs » ont pour objectif clair de monétiser leur accès à ces pots de miel. Ils peuvent le faire en installant des crypto-mineurs, des programmes pour effectuer des fraudes au clic ou générer un fake trafic vers les websites Net qu’ils contrôlent, et en vendant l’accès au pot de miel lui-même à d’autres pirates.

Enfin, les « Bardes » sont des hackers avec très peu ou presque pas de compétences. Ces pirates ont utilisé les pots de miel pour utiliser Google pour rechercher des logiciels malveillants et même regarder du porno. Ces pirates utilisaient parfois des téléphones portables au lieu d’ordinateurs de bureau ou portables pour se connecter aux pots de miel. Bergeron et Bilodeau ont déclaré croire que ce kind de pirate informatique utilise parfois les ordinateurs compromis pour télécharger de la pornographie, quelque selected qui peut être interdit ou censuré dans leur pays d’origine.

Dans un cas, un pirate informatique “téléchargeait le porno et se l’envoyait through Telegram. Donc, en gros, contournant une interdiction de la pornographie au niveau nationwide », a déclaré Bilodeau à TechCrunch. “Ce que je pense (le hacker) fait avec ça, c’est le télécharger dans un cybercafé, en utilisant Telegram, puis il peut le mettre sur des clés USB, et il peut le vendre.”

Bergeron et Bilodeau ont conclu que pouvoir observer les pirates interagir avec ce kind de pots de miel pourrait être très utile non seulement pour les chercheurs comme eux, mais aussi pour les forces de l’ordre ou les équipes défensives de cybersécurité – également appelées équipes bleues.

“Les forces de l’ordre pourraient légalement intercepter les environnements RDP utilisés par les groupes de rançongiciels et collecter des renseignements lors de classes enregistrées à utiliser dans les enquêtes”, ont écrit les chercheurs dans le billet de weblog. “Les équipes bleues, pour leur half, peuvent utiliser les (indicateurs de compromission) et déployer leurs propres pièges afin de protéger davantage leur organisation, automobile cela leur donnera une documentation complète sur l’artisanat des attaquants opportunistes.”

De plus, si les pirates commencent à soupçonner que les serveurs qu’ils compromettent peuvent être des pots de miel, ils devront changer de stratégie et décider si les risques d’être pris en valent la peine, “conduisant à un ralentissement qui profitera finalement à tout le monde”, selon le des chercheurs.

En savoir plus sur TechCrunch :

Imaginez pouvoir vous asseoir derrière un hacker et l’observer prendre le contrôle d’un ordinateur et jouer avec.

C’est à peu près ce qu’ont fait deux chercheurs en sécurité grâce à un vaste réseau d’ordinateurs mis en place comme pot de miel pour les pirates.

Les chercheurs ont déployé plusieurs serveurs Home windows délibérément exposés sur Web, configurés avec Distant Desktop Protocol, ou RDP, ce qui signifie que les pirates pourraient contrôler à distance les serveurs compromis comme s’ils étaient des utilisateurs réguliers, pouvant taper et cliquer.

Grâce à ces pots de miel, les chercheurs ont pu enregistrer 190 tens of millions d’événements et 100 heures de séquences vidéo de pirates prenant le contrôle des serveurs et exécutant une série d’actions sur ceux-ci, y compris la reconnaissance, l’set up de logiciels malveillants qui minent les crypto-monnaies, l’utilisation d’émulateurs Android pour effectuer cliquer sur la fraude, forcer brutalement les mots de passe pour d’autres ordinateurs, cacher l’identité des pirates en utilisant le pot de miel comme level de départ pour une autre attaque, et même regarder du porno. Les chercheurs ont déclaré qu’un pirate informatique réussissant à se connecter à son pot de miel peut générer à lui seul “des dizaines d’événements”.

“C’est essentiellement comme une caméra de surveillance pour le système RDP parce que nous voyons tout”, Andréanne Bergeron, qui a un doctorat. en criminologie de l’Université de Montréal, a déclaré à TechCrunch.

Bergeron, qui travaille également pour la firme de cybersécurité GoSecure, a travaillé avec son collègue Olivier Bilodeau sur cette recherche. Les deux ont présenté leurs conclusions mercredi lors de la conférence sur la cybersécurité Black Hat à Las Vegas.

Les deux chercheurs ont classé le kind de pirates en fonction de Donjons et Dragons sorts de caractères.

Les «Rangers», selon les deux, ont soigneusement exploré les ordinateurs piratés, faisant des reconnaissances, changeant parfois les mots de passe, et la plupart du temps en rester là. “Notre hypothèse est qu’ils évaluent le système qu’ils ont compromis afin qu’un autre profil d’attaquant puisse revenir plus tard”, ont écrit les chercheurs dans un article de weblog publié mercredi pour accompagner leur intervention.

Les «Barbarians» utilisent les ordinateurs pot de miel compromis pour essayer de forcer brutalement d’autres ordinateurs en utilisant des listes connues de noms d’utilisateur et de mots de passe piratés, parfois en utilisant des outils tels que Masscan, un outil légitime qui permet aux utilisateurs de scanner par port l’ensemble d’Web, selon les chercheurs. .

Les “sorciers” utilisent le pot de miel comme plate-forme pour se connecter à d’autres ordinateurs dans le however de cacher leurs traces et l’origine réelle de leurs attaques. Selon ce que Bergeron et Bilodeau ont écrit dans leur article de weblog, les équipes défensives peuvent recueillir des renseignements sur les menaces sur ces pirates et « approfondir l’infrastructure compromise ».

Selon Bergeron et Bilodeau, les « voleurs » ont pour objectif clair de monétiser leur accès à ces pots de miel. Ils peuvent le faire en installant des crypto-mineurs, des programmes pour effectuer des fraudes au clic ou générer un fake trafic vers les websites Net qu’ils contrôlent, et en vendant l’accès au pot de miel lui-même à d’autres pirates.

Enfin, les « Bardes » sont des hackers avec très peu ou presque pas de compétences. Ces pirates ont utilisé les pots de miel pour utiliser Google pour rechercher des logiciels malveillants et même regarder du porno. Ces pirates utilisaient parfois des téléphones portables au lieu d’ordinateurs de bureau ou portables pour se connecter aux pots de miel. Bergeron et Bilodeau ont déclaré croire que ce kind de pirate informatique utilise parfois les ordinateurs compromis pour télécharger de la pornographie, quelque selected qui peut être interdit ou censuré dans leur pays d’origine.

Dans un cas, un pirate informatique “téléchargeait le porno et se l’envoyait through Telegram. Donc, en gros, contournant une interdiction de la pornographie au niveau nationwide », a déclaré Bilodeau à TechCrunch. “Ce que je pense (le hacker) fait avec ça, c’est le télécharger dans un cybercafé, en utilisant Telegram, puis il peut le mettre sur des clés USB, et il peut le vendre.”

Bergeron et Bilodeau ont conclu que pouvoir observer les pirates interagir avec ce kind de pots de miel pourrait être très utile non seulement pour les chercheurs comme eux, mais aussi pour les forces de l’ordre ou les équipes défensives de cybersécurité – également appelées équipes bleues.

“Les forces de l’ordre pourraient légalement intercepter les environnements RDP utilisés par les groupes de rançongiciels et collecter des renseignements lors de classes enregistrées à utiliser dans les enquêtes”, ont écrit les chercheurs dans le billet de weblog. “Les équipes bleues, pour leur half, peuvent utiliser les (indicateurs de compromission) et déployer leurs propres pièges afin de protéger davantage leur organisation, automobile cela leur donnera une documentation complète sur l’artisanat des attaquants opportunistes.”

De plus, si les pirates commencent à soupçonner que les serveurs qu’ils compromettent peuvent être des pots de miel, ils devront changer de stratégie et décider si les risques d’être pris en valent la peine, “conduisant à un ralentissement qui profitera finalement à tout le monde”, selon le des chercheurs.

En savoir plus sur TechCrunch :