EXCLUSIF: Des pirates russes ont attaqué 85 grandes entreprises américaines, dont Steam, Amazon et Apple Pay

Un groupe de hackers russes lance des cyberattaques pour voler des informations d’identification des utilisateurs sur au moins 85 entreprises. Les cibles sont Amazon, American Airlines, AT & T, Best Buy, Wells Fargo, DropBox, Dunking Donuts, Ebay, GoDaddy, Uber, Match.com, McDonald, Office Depot, PayPal, Pizza Hut, Steam, Apple Pay, et d’autres encore.

Des fichiers de configuration utilisés lors des attaques ont été interceptés par un groupe de sécurité privé du darknet, et des copies ont été fournies à Epoch Times. Les données sont encore minces sur qui sont les auteurs des attaques, même si cela semble être des cybercriminels communs et non liés à des opérations gouvernementales. Ils s’expriment en russe dans leurs discussions en ligne, et utilisent des serveurs russes.

Ed Alexander, un enquêteur du darknet qui a fourni l’information, dit que lors des attaques sur d’Apple Pay en particulier, il a vu les pirates « capturer des numéros de cartes de paiement et des identités complètes », incluant même les réponses aux questions personnelles que les utilisateurs doivent fournir quand ils cherchent à récupérer des mots de passe perdus.

« Quand j’ai vu ce fichier en début de semaine, j’ai aussitôt retiré mes iPhones d’Apple Pay », a-t-il dit.

Avec les attaques ciblant Steam, l’une des plateformes de jeux vidéo les plus populaires avec environ 125 millions d’utilisateurs actifs, les pirates russes ont été vus en train de voler les courriels d’utilisateurs et les mots de passe. En accédant aux comptes, les pirates ont accès à des objets virtuels sur les comptes des utilisateurs, qu’ils peuvent vendre en échange de monnaies virtuelles ou par le biais de sites d’enchères en ligne contre de l’argent réel.

Les pirates possèdent des dossiers personnalisés de cyberattaques pour chaque entreprise qu’ils visent. Alexander a été en mesure de fournir des copies de ces fichiers d’attaque. Les fichiers sont des configurations personnalisées d’un outil de crackage du marché noir connu sous le nom de Sentry MBA.

Sentry MBA utilise la technique dite de «credential stuffing», qui tire profit des utilisateurs qui utilisent le même nom d’utilisateur et mot de passe pour plusieurs sites Web. Si par exemple un site Web est attaqué et que 10 000 références d’utilisateurs sont  ensuite revendues sur des sites pirates. Alors des pirates peuvent acheter ces comptes et les utiliser avec Sentry MBA pour tester si cela fonctionne sur d’autres sites ou services.

L’outil Sentry MBA a largement remplacé les anciennes méthodes de « force brutale » qui génèrent des mots de passe de façon aléatoire à une échelle massive jusqu’à trouver le bon mot de passe pour un compte.

Les fichiers de configuration personnalisés Sentry MBA utilisés par les pirates informatiques russes sont conçus pour contourner les protocoles de sécurité propres à chaque site tels que CAPTCHA pour s’assurer que les connexions sont bien effectuées par des humains et non par des robots, avec des systèmes qui bloquent plusieurs tentatives de connexion.

Sentry MBA est extrêmement efficace, car il est fréquent que les gens utilisent les mêmes noms d’utilisateur et mots de passe sur plusieurs services. Par exemple, en 2010, près de 1,5 million d’utilisateurs ont vu leurs données publiées en ligne suite à une intrusion sur le blog Gawker. En 2011, plus de 93 000 utilisateurs ont leurs informations piraté sur le PlayStation Network de Sony. Selon la communauté de logiciels de sécurité OWASP, environ les deux tiers des utilisateurs de l’attaque Sony ont utilisé les mêmes informations d’identification que sur Gawker.

Version anglaise : EXCLUSIVE: Russian Hackers Attacking 85 Major Companies Including Steam, Amazon, and Apple Pay