Quand certains attaquants se distinguent par leur professionnalisme

Le rapport de Trend Micro sur deux années d’activités attribuées au groupe APT28, publié fin avril, réservait plusieurs surprises. Et pas seulement concernant les équipes de campagne d’Emmanuel Macron et les attaques les ayant visées.

Ainsi, les domaines mail-en-marche.fr et accounts-office.fr étaient, au moment de la publication du rapport, hébergés sur deux services VPS souscrits environ deux mois plus tôt et réglés en Bitcoin. Une pratique potentiellement surprenante car, souvent, les pirates utilisent, pour leurrer les internautes dans leurs tentatives de collectes d’identifiants par hameçonnage, des instances hébergées légitimes, compromises et détournées à l’insu de leurs administrateurs.

Interrogé sur ce point, un hébergeur français nous a indiqué que la pratique tend à se répandre. De son côté, OVH explique que le piratage d’instances légitimes « continue tout de même de bien fonctionner ». Et d’avancer trois raisons à cela : « c’est gratuit pour les pirates ; c’est très facile à trouver – il suffit de scanner des Wordpress ou autres CMS pas à jour et on en trouve plein ». Surtout, « quand la page de phishing est découverte, l’hébergeur a moins de latitude que pour une instance ‘dédiée à du phishing’, où il suffit de la couper. Alors que pour une page déposée dans un répertoire caché d’un site Web légitime, si on coupe, on met en panne l’activité légitime du client-victime ».

Quant au paiement de ces services, OVH n’accepte pas Bitcoin. Mais il évoque des fraudes au compte Paypal alimenté en Bitcoins et utilisé ensuite pour acheter un service. Toutefois, il assure n’avoir pas « observé de grosse augmentation de fraude Paypal pour le moment. Si cela existe, c’est marginal ».

Loïc Guézo, stratégiste cybersécurité chez Trend Micro, voit dans l’achat de services d’hébergement la marque d’une forme de professionnalisme et même « d’assurance de l’attaquant » : « dans une typologie d’acteur qui souhaite avoir un haut niveau de crédibilité et une persistance dans le temps de ses infrastructures, ce choix paraît plus raisonnable et plus professionnel. Plutôt que de se limiter et de se mettre en position de risque avec des infrastructures compromises ».

En particulier, pour un groupe « structuré avec des moyens », il apparaît « tout à fait envisageable de mettre sur la table une fausse identité, ou une identité difficilement traçable, les moyens financiers nécessaires pour payer réellement, en toute confiance ».