INSIGHT-Le FBI a eu du mal à démanteler un dangereux gang de pirates de casino, selon des cyberintervenants

information fournie par Reuters •14/11/2023 à 13:22

(Suppression d'une répétition au paragraphe 8) par Zeba Siddiqui, Christopher Bing et Raphael Satter

Selon neuf intervenants en cybersécurité, des experts en criminalité numérique et des victimes, le Federal Bureau of Investigation (FBI) a eu du mal à arrêter un gang de cybercriminels hyper-agressifs qui tourmente l'Amérique des affaires depuis deux ans.

Depuis plus de six mois, le FBI connaît l'identité d'au moins une douzaine de membres liés au groupe de pirates informatiques responsable des effractions dévastatrices de septembre chez les exploitants de casinos MGM Resorts International

MGM.N et Caesars Entertainment CZR.O , selon quatre personnes au fait de l'enquête.

Les dirigeants de l'industrie ont déclaré à Reuters qu'ils étaient déconcertés par l'absence apparente d'arrestations malgré le fait que de nombreux pirates informatiques soient basés aux États-Unis.

"J'aimerais bien qu'on me l'explique", a déclaré Michael Sentonas, président de CrowdStrike, l'une des entreprises qui a mené l'effort de réponse aux piratages.

"Pour un si petit groupe, ils font absolument des ravages", a déclaré Sentonas lors d'une interview accordée à Reuters le mois dernier.

M. Sentonas a déclaré que les pirates étaient "connus", mais n'a pas donné de détails. Il a toutefois ajouté: "Je pense qu'il y a eu une défaillance" À la question de savoir qui était responsable de cette défaillance, M. Sentonas a répondu: "les forces de l'ordre"

Le FBI a déclaré qu'il enquêtait sur les piratages des sociétés de jeux, mais un porte-parole de l'agence a refusé de s'exprimer sur le groupe responsable ou sur l'état d'avancement de l'enquête. Un porte-parole du ministère de la justice s'est également refusé à tout commentaire.

Surnommé "Scattered Spider" par certains professionnels de la sécurité, le groupe de pirates informatiques est actif depuis 2021, mais il a fait les gros titres à la suite d'une série d'intrusions dans plusieurs entreprises américaines de premier plan.

L'intrusion de MGM a perturbé les activités de ses casinos et de ses hôtels pendant plusieurs jours et lui a coûté environ 100 millions de dollars de dommages, comme l'a indiqué la société dans un document réglementaire le mois dernier. Caesars a payé une rançon d'environ 15 millions de dollars pour récupérer l'accès à ses systèmes auprès des pirates, selon le Wall Street Journal.

Aucune des deux sociétés n'a répondu à une demande de commentaire.

CrowdStrike, Mandiant (Alphabet), Palo Alto Networks et Microsoft figurent parmi les principales entreprises américaines de cybersécurité qui ont réagi aux violations commises par les pirates dans les entreprises privées. Certaines d'entre elles ont recueilli des preuves de l'identité des pirates et aident les forces de l'ordre, selon les cinq initiés.

Les sources indiquent qu'à la suite des piratages de casinos de septembre, l'enquête du FBI a pris un nouveau caractère d'urgence. Les fonctionnaires du FBI ont commencé à s'intéresser aux opérations des pirates il y a plus d'un an.

Les analystes en sécurité qui suivent les violations ont trouvé des victimes dans presque tous les secteurs d'activité, depuis les télécommunications et les sociétés d'externalisation jusqu'aux entreprises de soins de santé et de services financiers.

Au total, environ 230 organisations ont été touchées depuis le début de l'année dernière, selon un décompte de la société de cybersécurité ZeroFox, basée à Baltimore, dans le Maryland, qui a aidé Caesars à contenir les retombées.

James Foster, directeur général de ZeroFox, attribue la lenteur de la réaction des forces de l'ordre à un manque de personnel. Au cours des dernières années, de nombreux articles de presse ont suggéré que le bureau perdait un grand nombre de ses meilleurs agents cybernétiques au profit du secteur privé, qui leur offre des salaires plus élevés.

"Les forces de l'ordre, en tout cas au niveau fédéral, disposent de tous les outils et de toutes les ressources nécessaires pour lutter efficacement contre les cybercriminels", a déclaré M. Foster. "Elles n'ont tout simplement pas assez de personnel

L'hésitation de nombreuses victimes à coopérer avec le FBI constitue un autre problème. L'une des sources, un cadre impliqué dans la défense contre les pirates informatiques, qui a refusé d'être nommé pour des raisons de confidentialité, a déclaré que "plusieurs" entreprises victimes n'ont jamais informé le bureau qu'elles avaient été compromises, ce qui signifie que les procureurs ont perdu l'occasion d'acquérir des preuves potentiellement importantes.

Cet instinct de dissimulation d'une intrusion n'est pas inhabituel, a déclaré à Reuters un ancien fonctionnaire du FBI qui a requis l'anonymat et qui a déjà travaillé sur des enquêtes relatives à des ransomwares.

"Ce que j'ai constaté en travaillant sur les ransomwares, c'est que neuf fois sur dix, l'entreprise ne voulait pas coopérer", a déclaré l'ancien fonctionnaire.

Un troisième défi a été la nature peu soudée du groupe, qui est constitué de petits groupes d'individus qui collaborent ponctuellement sur des tâches spécifiques. La structure obscure du gang lui a valu le surnom de "Scattered" (dispersé), ainsi qu'un autre surnom de l'industrie, "Muddled Libra" (Balance embrouillée), parmi les chercheurs.

Par exemple, l'équipe à l'origine du projet de casino se fait appeler "Star Fraud", selon deux analystes. Elle fait partie d'un grand collectif de pirates informatiques composé essentiellement de jeunes cybercriminels qui utilisent le nom "The Com" comme argot pour désigner leur communauté.

Selon les entreprises de cybersécurité, la plupart des membres du groupe sont basés dans des pays occidentaux, notamment aux États-Unis. Ils discutent généralement de projets de piratage dans des canaux de discussion partagés sur des applications de messagerie sociale, notamment Telegram et Discord, qui est populaire auprès des joueurs.

Un porte-parole de Telegram n'a pas répondu à une demande de commentaire sur les pirates. Un porte-parole de Discord a refusé de s'exprimer à leur sujet, mais a déclaré que la plateforme interdisait toute activité illégale et prenait des mesures, notamment en interdisant ou en fermant les groupes ou les utilisateurs qui s'adonnaient à de telles pratiques.

Historiquement, la forme amorphe du groupe a rendu difficile pour le FBI la coordination interne entre ses nombreux bureaux locaux à travers le pays, ont déclaré trois personnes familières avec l'affaire. Pendant des mois, de nombreux bureaux locaux ont enquêté chacun de leur côté sur des piratages individuels lancés par le même groupe, sans être immédiatement conscients de leur lien, ce qui a retardé le processus.

Récemment, le bureau local du FBI à Newark, dans le New Jersey, a mené une enquête sur le groupe de pirates informatiques et a progressé, selon ces trois personnes, qui n'ont pas fourni de détails. Elles ont ajouté qu'un nouvel agent spécial a été affecté à l'affaire.

Ces derniers mois, des détails alarmants sur les tactiques agressives de The Com ont été rendus publics . Ses membres sont engagés dans une série de projets illicites, allant de la sextorsion et du ransomware aux escroqueries par téléphone et au paiement de personnes pour commettre des violences physiques - également connues sous le nom de "violence en tant que service"

Dans un rapport publié sur par Microsoft à la fin du mois dernier, l'entreprise technologique a cité des pirates informatiques liés à Scattered Spider qui menaçaient de tuer les employés d'une organisation victime à moins qu'ils ne communiquent leurs mots de passe.

"Si nous n'obtenons pas votre login dans les 20 prochaines minutes, nous enverrons un tireur chez vous (sic)", pouvait-on lire dans l'un des messages. Un autre suivait en disant: "Notre femme va se faire tirer dessus si vous ne la pliez pas"

Les tentatives de Reuters pour contacter les pirates pour cet article n'ont pas abouti.

"Je pense qu'ils sont pathologiques", a déclaré Kevin Mandia, fondateur de Mandiant, lors d'une interview en septembre. "Nous avons vu comment ils interagissent avec les entreprises victimes. Ils sont sans pitié

Mandia n'a pas répondu directement à la question de savoir si les identités de Scattered Spider étaient connues des forces de l'ordre. Mais il a déclaré qu'il n'y avait aucune excuse pour ne pas arrêter les pirates informatiques qui opéraient à partir de l'Occident.

"S'ils se trouvent dans des pays démocratiques qui travaillent avec la communauté internationale, il faut les attraper", a-t-il déclaré.