Le Federal Bureau of Investigation des États-Unis a eu du mal à arrêter un gang de cybercriminalité hyper-agressif qui tourmente les entreprises américaines au cours des deux dernières années, selon neuf intervenants en cybersécurité, experts en criminalité numérique et victimes.
Depuis plus de six mois, le FBI connaît l’identité d’au moins une douzaine de membres liés au groupe de piratage informatique responsable des effractions dévastatrices de septembre chez les opérateurs de casino MGM Resorts International et Caesars Entertainment, selon quatre personnes proches de l’enquête.
Les dirigeants de l’industrie ont déclaré à Reuters qu’ils étaient déconcertés par l’absence apparente d’arrestations, alors que de nombreux pirates informatiques étaient basés aux États-Unis.
«Cela fait absolument des ravages»
“J’aimerais que quelqu’un m’explique”, a déclaré Michael Sentonas, président de CrowdStrike, l’une des sociétés à la tête des efforts de réponse aux piratages.
“Pour un si petit groupe, ils causent absolument des ravages”, a déclaré Sentonas à Reuters dans une interview le mois dernier.
Sentonas a déclaré que les pirates étaient “connus”, mais n’a pas fourni de détails. Il a dit : « Je pense qu’il y a un échec ici. » Lorsqu’on lui a demandé qui était responsable de cet échec, Sentonas a répondu : « les forces de l’ordre ».
Le FBI a déclaré qu’il enquêtait sur les piratages de la société de jeux, mais un porte-parole de l’agence a refusé de commenter le groupe responsable ou l’état de l’enquête. Un porte-parole du ministère de la Justice a également refusé de commenter.
Surnommé par certains professionnels de la sécurité « Scattered Spider », le groupe de hackers est actif depuis 2021 mais a défrayé la chronique suite à une série d’intrusions dans plusieurs entreprises américaines de premier plan.
La violation de MGM a perturbé les opérations de ses casinos et hôtels pendant des jours et a coûté à l’entreprise environ 100 millions de dollars américains en dommages, a-t-elle déclaré dans un dossier réglementaire le mois dernier. Caesars a payé environ 15 millions de dollars en rançon pour récupérer l’accès à ses systèmes auprès des pirates, selon un article du Wall Street Journal.
Aucune des deux sociétés n’a répondu à une demande de commentaires.
La nouvelle urgence de l’enquête
CrowdStrike, Alphabet’s Mandiant, Palo Alto Networks et Microsoft comptent parmi les principales sociétés américaines de cybersécurité qui réagissent aux violations commises par des pirates informatiques dans des entreprises privées. Certains ont collecté des preuves permettant de déterminer l’identité des pirates informatiques et aident les forces de l’ordre, selon les cinq initiés.
Les sources affirment qu’après les piratages de casinos en septembre, l’enquête du FBI a pris une nouvelle urgence. Les responsables du FBI ont commencé à s’intéresser aux opérations des pirates informatiques il y a plus d’un an.
Les analystes en sécurité qui suivent les violations ont découvert un large éventail de victimes dans presque tous les secteurs, à commencer par les sociétés de télécommunications et d’externalisation jusqu’aux sociétés de soins de santé et de services financiers.
Au total, environ 230 organisations ont été touchées depuis le début de l’année dernière, selon un décompte réalisé par la société de cybersécurité ZeroFox, basée à Baltimore, dans le Maryland, qui a aidé Caesars à contenir les retombées.
Le directeur général de ZeroFox, James Foster, a attribué la lenteur de la réponse des forces de l’ordre au manque de main-d’œuvre. Au cours des dernières années, de nombreux articles de presse ont suggéré que le bureau perdait bon nombre de ses meilleurs cyber-agents au profit du secteur privé, qui offre des salaires plus élevés.
Pas assez de monde
“Les forces de l’ordre, notamment au niveau fédéral, disposent de tous les outils et ressources dont elles ont besoin pour réussir à traquer les cybercriminels”, a déclaré Foster. “Ils n’ont tout simplement pas assez de monde.”
Un autre défi a été l’hésitation de nombreuses victimes à coopérer avec le FBI. L’une des sources, un cadre impliqué dans la défense contre les pirates informatiques, qui a refusé d’être nommé, invoquant la confidentialité de ses clients, a déclaré que « plusieurs » entreprises victimes n’avaient jamais informé le bureau qu’elles étaient compromises, ce qui signifie que les procureurs ont perdu la chance d’acquérir des preuves potentiellement importantes.
Cet instinct de dissimulation d’une intrusion n’est pas inhabituel, a déclaré à Reuters un ancien responsable du FBI qui a requis l’anonymat et qui a déjà travaillé sur des enquêtes sur des ransomwares.
“Ce que j’ai rencontré en travaillant sur des logiciels de rançon, c’est que neuf fois sur dix, l’entreprise n’a pas voulu coopérer”, a déclaré l’ancien responsable.
Un troisième défi réside dans la nature floue du groupe, composé de petits groupes d’individus qui collaborent de temps en temps sur des tâches spécifiques. La structure obscure du gang a contribué à lui valoir le surnom de « Scattered », ainsi qu’un autre surnom de l’industrie, « Mudddled Libra », parmi les chercheurs.
Par exemple, l’équipe derrière le travail du casino s’appelle “Star Fraud”, selon deux analystes. Il fait partie d’un plus grand collectif de hackers composé principalement de jeunes cybercriminels qui utilisent le nom « The Com » comme argot pour désigner leur communauté.
La plupart des membres du groupe sont basés dans des pays occidentaux, notamment aux États-Unis, affirment les sociétés de cybersécurité. Ils discutent généralement de projets de piratage dans des canaux de discussion partagés sur des applications de messagerie sociale, à savoir Telegram et Discord, très populaires auprès des joueurs.