Cybercriminalité : vaste opération contre une place de marché majeure

Surprise ce 4 avril 2023 : soudain, la place de marché Genesis Market n’est plus accessible ouvertement sur Internet. Une image annonçant une saisie du site Web apparaît en lieu et place de l’habituelle invite d’ouverture de session. Y trônent en bonne place les emblèmes du ministère américain de la Justice et du FBI. Mais l’on peut également y voir ceux d’Europol, d’Eurojust, de la NCA britannique, du bureau fédéral de la police criminelle allemande, ou encore celui de la direction centrale de la police judiciaire française, notamment.

Les forces de l’ordre de 17 pays sont intervenues simultanément dans le cadre l’opération baptisée « Cookie Monster ». Elle a notamment conduit à 119 arrestations. Mais pourquoi Genesis ? 

Cette place de marché était l’une de principales plaques tournantes des accès initiaux avec, à la manière des logs d’infostealers, tout ce qu’ils contiennent de cookies, de données d’authentification stockées dans les navigateurs Web, ou encore de données de remplissage automatique de formulaires, voire d’empreintes de navigateurs. 

Ces éléments permettent de détourner des comptes utilisateurs pour toute un éventail d’activités malveillantes, jusqu’à des cyberattaques avec ransomware. Surtout, les empreintes de navigateurs évitent de générer des alertes lors de ces détournements.

Surtout, comme l’explique Alexander Leslie, analyste chez Recorded Future, Genesis proposait les outils nécessaires pour intégrer automatiquement ces données et les exploiter immédiatement, en toute transparence. 

Les autorités ont pu mettre la main sur les données que les bots remontaient automatiquement à Genesis pour leur valorisation. Les adresses e-mail et mots de passe associés trouvés sur la place de marché ont été fournies à haveibeenpwned, afin d’automatiser la notification des personnes concernées. La police néerlandaise a en outre mis en place un service de vérification.

À ce jour, Genesis Market est toujours accessible via Tor. Mais beaucoup pensent qu’il ne s’agit plus que d’un piège laissé ouvert par les forces de l’ordre. 

Dmitry Smilyanets, analyste chez Recorded Future, relève que les opérateurs de la place de marché courent toujours. De quoi laisser à suspecter que Genesis aura un successeur, même si, dans l’immédiat, des places de marché concurrentes et les canaux Telegram spécialisés pourraient, un temps, profiter d’un appel d’air. 

Mais surtout, comme le souligne Dmitry Smilyanets, les données issues de Genesis vont aider les forces de l’ordre à établir des relations entre vendeurs, acheteurs, et cyberattaques constatées. A moins que cela n’ait déjà été fait. 

Car c’est le 9 décembre 2020 que le FBI a obtenu pour la première fois une image du serveur hébergeant un backend de Genesis. Au printemps 2022, il en a obtenu une nouvelle. A cette période, il y avait environ 800 millions d’identifiants de comptes en vente sur Genesis.