Habana Labs : le groupe Pay2Key entame la divulgation des données

Les assaillants de la filiale d’Intel diffusent une archive de 53 Go de données présentées comme extraites d’un serveur de développement Gerrit. Pour Check Point, il y a là plus que la motivation financière.

Le groupe de rançonneurs Pay2Key a revendiqué, ce dimanche 13 décembre, une cyberattaque contre Habana Labs. Cette jeune pousse israélienne, rachetée par Intel fin 2019, développe des accélérateurs programmables pour l’apprentissage profond, avec deux produits phares : Gaudi, pour l’entraînement de modèles, et Goya, pour les charges de traitement d’inférence du deep learning.

Initialement, les opérateurs du rançongiciel n’avaient pas publié de données dérobées à leur victime : ils disaient lui laisser jusqu’à ce mercredi 16 décembre avant cela. Pour étayer leurs affirmations, ils diffusaient toutefois des données présentées comme relatives à un contrôleur de domaine, entre données DNS internes, et plus de 20 Mo de données extraites de l’annuaire Active Directory. Ils présentaient également une liste de près de 600 000 fichiers d’un serveur de développement Gerrit.

Mais voilà, les opérateurs du ransomware n’ont pas tenu parole. Dès ce mardi 15 décembre, ils ont entamé la diffusion de ce qu’ils présentent comme une partie des données qu’ils affirment avoir dérobées à Habana Labs : une archive de 53 Go qui contient, selon les cyberdélinquants, « tous les projets et codes sources » du service Gerrit. De leur côté, ni Habana Labs ni Intel ne se sont, à ce stade, exprimés sur le sujet.

Pour Lotem Finkelsteen, responsable du groupe de renseignement sur les menaces de Check Point, il est clair que « le groupe exprime un intérêt particulier pour le secteur privé en Israël ».

Capture d'écran du site de Pay2Key.

Lotem Finkelsteen relève bien des preuves d’une attaque en Italie « au début du mois de novembre », mais outre celle-ci, « toutes les attaques jusqu’à présent ont été concentrées en Israël. Cette caractéristique évidente des attaques ne peut être ignorée ». Et cela d’autant plus, qu’aujourd’hui les cyber rançonneurs viennent de rhabiller leur site Web, plaçant très explicitement une carte d’Israël en fond de page.

Lotem Finkelsteen souligne en outre que « l’argent des rançons (en Bitcoin) passe par une plateforme commerciale iranienne, qui n’autorise l’inscription que de citoyens iraniens ». Alors pour lui, « il ne reste plus qu’à attribuer l’attaque à des cyberdélinquants iraniens ».

« Bien qu’il s’agisse d’une attaque qui rapporte beaucoup d’argent aux pirates informatiques, il semble également y avoir des motifs idéologiques. »
Lotem FienkelsteenCheckpoint

Étonnant pour des attaques de rançongiciel ? « Au fil des ans, nous avons vu que les cyberattaques sont parfois conçues pour servir plus d’une motivation ». Et dans le cas présent, « bien qu’il s’agisse d’une attaque qui rapporte beaucoup d’argent aux pirates informatiques, il semble également y avoir des motifs idéologiques. Les pirates n’ont aucune contrainte technologique qui les empêche de s’étendre à d’autres pays et secteurs. Les pirates ont présenté un ensemble de compétences qui ne sont pas en deçà des attaques les plus avancées dans le domaine des rançons ».

Dès lors, pour Lotem Finkelsteen et ses équipes, une question se pose : « pourquoi Israël ? »

Pour approfondir sur Menaces, Ransomwares, DDoS

Close