Fxmsp Hacker Cybersécurité Piratage Accès AaaS Investigation

Cybersécurité : un hacker kazakh serait responsable de la compromission de 135 organisations dans le monde

L’entreprise Group-IB a attribué à un ressortissant kazakh la paternité de Fxmsp, un profil cybercriminel ayant vendu des accès à des réseaux informatiques compromis sur des forums russophones. Ces ventes lui auraient rapporté plus d’un million d’euros entre 2017 et 2019.

Dans un rapport publié le 23 juin par Group-IB, l’un des principaux éditeurs russes de sécurité informatique aujourd’hui enregistré à Singapour, les chercheurs de l’entreprise ont retracé les activités d’un hacker connu sous le pseudonyme de « Fxmsp ». Le profil est connu pour avoir vendu des accès à des réseaux informatiques piratés sur plusieurs forums cybercriminels russophones entre 2017 et 2019, dont ceux de banques, de chaînes d’hôtels, d’écoles ou encore d’entreprises militaires, dans plus d’une quarantaine de pays à travers le monde.

Novastan est le seul média en français et en allemand spécialisé sur l'Asie centrale. Entièrement associatif, il fonctionne grâce à votre participation. Nous sommes indépendants et pour le rester, nous avons besoin de vous ! Vous pouvez nous soutenir en vous abonnant, en réalisant un don défiscalisé à 66 %, ou en devenant membre actif par ici.

Group-IB affirme avoir pu identifier un ressortissant kazakh originaire d’Almaty comme l’auteur supposé de ces attaques informatiques. Les gains amassés par Fxmsp et son directeur commercial, « Lampeduza », s’élèveraient à au moins un million et demi de dollars (1,33 million d’euros). Cette somme souligne la rentabilité de la méthode relativement simple que le hacker, en seulement deux ans, a réussi à développer de manière quasi-industrielle. Même si les différents comptes de Fxmsp semblent inactifs depuis fin 2019, le cybercriminel pourrait avoir refondu son activité pour continuer à cibler depuis l’Asie centrale les pays en dehors de l’espace post-soviétique.

Le « Dieu invisible des réseaux »

Les premières traces connues de Fxmsp remontent à 2016. Le cybercriminel publie à cette époque une série de messages sur des plateformes cybercriminelles russophones dans l’espoir d’améliorer ses outils de crypto-minage, technique consistant à infecter une entité pour détourner la puissance de traitement inactive de ses systèmes d’information. Celle-ci est ensuite utilisée sans le consentement de son propriétaire pour s’enrichir en « minant » de la crypto-monnaie, généralement Monero et Ethereum, qui exploitent des processeurs largement répandus et offrent un niveau élevé d’anonymat.

Lire aussi sur Novastan : Le Kazakhstan veut davantage contrôler son cyber-espace

Rapidement, l’activité principale de Fxmsp se déporte cependant sur un modèle incontestablement plus lucratif. À partir d’octobre 2017, le cybercriminel commence à proposer des accès à des réseaux informatiques piratés. Le but est de sous-traiter la compromission initiale effectuée par phases : le hacker se charge au préalable de la reconnaissance, de l’intrusion, de la persistance sur le réseau, puis de l’acquisition des privilèges administrateurs permettant de naviguer et configurer librement l’ensemble des machines.

!function(){“use strict”;window.addEventListener(“message”,(function(a){if(void 0!==a.data[“datawrapper-height”])for(var e in a.data[“datawrapper-height”]){var t=document.getElementById(“datawrapper-chart-“+e)||document.querySelector(“iframe[src*='”+e+”‘]”);t&&(t.style.height=a.data[“datawrapper-height”][e]+”px”)}}))}();

Les accès ensuite vendus servent généralement à du crypto-minage ou à l’injection de rançongiciels (ransomwares), des programmes malveillants chiffrant les données des postes compromis avant de demander au propriétaire d’envoyer de l’argent en échange de la clé permettant de les déchiffrer. La vente d’accès est ainsi un véritable modèle économique qui s’est répandu sur les forums cybercriminels à partir du début des années 2010, et aujourd’hui connu sous le nom d’Access-as-a-Service (AaaS). Chaque accès peut coûter entre une centaine et plusieurs centaines de milliers de dollars pour les plus importants parcs informatiques infectés.

Lire aussi sur Novastan : Le Kazakhstan continue de construire son « grand cyber-bouclier »

La technique utilisée par Fxmsp pour obtenir ces accès est relativement simple. Au lieu d’hameçonner ses victimes en les poussant à ouvrir une pièce jointe ou un site web contenant un code malveillant, technique la plus répandue, le cybercriminel utilise différents outils pour scanner des séries d’adresses IP et identifier des machines dont le port 3389, généralement employé pour l’accès à distance à des serveurs et postes de travail Windows via le protocole RDP (Remote Desktop Protocol), est « ouvert ». Cette porte d’entrée permet d’obtenir les identifiants de membres du réseau, dont Fxmsp récupère les mots de passe en utilisant des techniques dites de force brute. Ces dernières permettent d’automatiser les tentatives de connexion avec des mots de passe faibles compris dans des « dictionnaires » constitués au préalable. Si le hacker est capable de s’identifier, il prend ensuite progressivement contrôle du réseau, désactive les logiciels antivirus et pares-feux, et infecte même les sauvegardes pour s’assurer de maintenir une porte dérobée si le programme malveillant est repéré sur le réseau principal.

Lorsque les accès sont garantis, Fxmsp peut diviser à sa convenance le réseau en différentes zones et les revendre à un ou plusieurs cybercriminels.

Plus d’une centaine de victimes dans 44 pays

Le palmarès de Fxmsp révélé par Group-IB est impressionnant : entre octobre 2017 et septembre 2019, le hacker aurait compromis au moins 135 entités dans 44 pays. En conduisant des scans à grande échelle sur le réseau, Fxmsp aurait réussi à cibler de manière indiscriminée des entités d’un grand nombre de secteurs sur les cinq continents. Parmi celles-ci, de petites industries, mais également quatre entreprises de la liste des Fortune Global 500 de 2019, des entreprises militaires, et 9 % d’entreprises d’État.

Longtemps considéré comme russe, Fxmsp n’aurait transigé qu’une seule fois à la règle tacite selon laquelle les cybercriminels originaires de Russie ne doivent pas prendre pour cible des entités localisées dans les pays de l’ex-URSS. Banni en décembre 2017 d’un forum pour avoir proposé l’accès à un distributeur de banque et un bureau de douane dans deux villes russes, Fxmsp avait rapidement supprimé les annonces incriminées pour pouvoir réintégrer la communauté. L’absence de ciblage en Asie centrale, en Europe de l’Est et dans le Caucase indique qu’il s’est ensuite tenu à cette restriction symbolique.

!function(){“use strict”;window.addEventListener(“message”,(function(a){if(void 0!==a.data[“datawrapper-height”])for(var e in a.data[“datawrapper-height”]){var t=document.getElementById(“datawrapper-chart-“+e)||document.querySelector(“iframe[src*='”+e+”‘]”);t&&(t.style.height=a.data[“datawrapper-height”][e]+”px”)}}))}();

Le marché de Fxmsp se développe si rapidement en 2018 que le hacker décide d’engager un directeur commercial. À partir d’avril, il commence à collaborer avec Lampeduza, lui-même cybercriminel et jusqu’alors connu pour des ventes d’informations bancaires et d’accès à des comptes Facebook et Snapchat. Lampeduza assure dès lors la publication des offres et la négociation avec les potentiels clients, laissant ainsi Fxmsp se concentrer sur la seule compromission des réseaux.

Lire aussi sur Novastan : Le Kazakhstan organise une surveillance massive de sa population sur Internet

La renommée de Fxmsp atteint son apogée en mai 2019 : le hacker propose à cette date l’accès à trois importantes entreprises de logiciels antivirus, Trend Micro, Symantec et McAfee, pour la somme totale de 300 000 dollars (267 000 euros). Le lot contenait par ailleurs le code source des solutions antivirus des entreprises, un produit de choix pour les cybercriminels souhaitant comprendre comment passer sous leur radar pour de futures attaques.

Envie d'Asie centrale dans votre boîte mail ? Inscrivez-vous gratuitement à notre newsletter hebdomadaire en cliquant ici.

Selon Group-IB, les activités de Fxmsp ont vraisemblablement pris fin en septembre 2019, dernière date connue de vente d’accès sur la plateforme exploit[.]in. Ce retrait pourrait être motivé par des déboires avec des clients accusant le hacker et son compère de vendre les mêmes réseaux à plusieurs bénéficiaires en même temps, pratique jugée malhonnête par la plupart des plateformes cybercriminelles russophones. Lampeduza a annoncé peu après mettre fin à sa collaboration avec Fxmsp. Il est néanmoins possible que Fxmsp maintienne encore aujourd’hui ses activités avec un groupe restreint de clients fidèles, loin de la popularité qui avait attiré l’attention de la plupart des entreprises de cybersécurité et des autorités des pays ciblés.

Un Kazakh identifié

Les investigations menées par Group-IB ont dans tous les cas permis d’identifier un ressortissant kazakh comme l’individu derrière le profil Fxmsp. Cette attribution repose sur les liens entre l’une des adresses de messagerie électronique utilisée par le cybercriminel au début de sa « carrière » et des noms de domaines enregistrés par un certain Andreï A. Tourtchine. L’éditeur a ainsi pu rattacher cette identité à des numéros de téléphone localisés à Almaty et des profils sur les réseaux sociaux russes VKontakte et Moï Mir.

Lire aussi sur Novastan : Le Kazakhstan accusé d’employer des hackers pour espionner ses opposants à l’étranger

Malgré le ciblage d’entités en Russie en 2017, il demeure toutefois peu probable que Fxmsp soit inquiété par les autorités kazakhs ou russes. Le Kazakhstan est en effet considéré comme un Éden pour les hackers de la Communauté des États indépendants : la faiblesse de ses organes et de sa législation en matière de cybercriminalité en fait même un pays d’accueil pour de nombreux pirates informatiques russophones. Foyer souvent moins connu de hackers, le Kazakhstan bénéficie encore aujourd’hui de formations de qualité en sciences informatiques héritées de l’Union soviétique, et de nombreux jeunes exploitent sa proximité culturelle et linguistique pour partager des compétences et développer leurs activités sur les sites cybercriminels russophones.

Fxmsp s’inscrit donc comme une figure marquante de la vente d’accès et de la cybercriminalité kazakh de la période. Aujourd’hui, bon nombre de hackers se tournent progressivement vers le « Big Game Hunting » pour rançonner des entreprises détenant des ressources financières plus importantes que les petites entités jusqu’alors ciblées. Si ce mode opératoire a rapporté à certains de ses confrères russes plusieurs centaines de millions de dollars, la reconversion potentielle d’Andreï Tourtchine, dans le milieu cybercriminel ou non, sera sans aucun doute scrutée par les chercheurs en cybersécurité du monde entier.

Vadim Alinov
Rédacteur pour Novastan

Relu par Aline Cordier Simonneau

Merci d'avoir lu cet article jusqu'au bout ! Si vous avez un peu de temps, nous aimerions avoir votre avis pour nous améliorer. Pour ce faire, vous pouvez répondre anonymement à ce questionnaire ou nous envoyer un email à redaction@novastan.org. Merci beaucoup !

Partager avec
Aucun commentaire

Ecrire un commentaire

Captcha *