Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Telegram : le nouveau médium de choix de la cybercriminalité

mai 2018 par Check Point

Le Dark Web est un pôle d’activités illicites. Armes illégales, trafic de drogue, logiciels rançonneurs sous forme de service... les acheteurs et les vendeurs l’utilisent pour commercialiser et échanger des connaissances et des produits. Bien entendu, jusqu’à ce que la justice intervienne et y mette fin.

Le démantèlement de ces places de marché dans le Dark Web, notamment Hansa Market et Alpha Bay, par les autorités aux États-Unis et en Europe, a fait les gros titres il n’y a pas si longtemps et a servi d’exemple pour illustrer ce jeu du chat et de la souris. Il n’a cependant pas fallu longtemps aux cybercriminels pour se tourner vers de nouveaux supports afin d’échapper aux autorités. Il est rapidement apparu qu’ils pouvaient utiliser Telegram, l’application de messagerie mobile de plus en plus populaire, et poursuivre leur commerce.

Le côté obscur d’Internet

Les forums de piratage ont longtemps été une plate-forme populaire et un moyen de communication important parmi les pirates, car ils leur permettent de publier des offres d’emploi, de commercialiser leurs produits et même de se concerter.

Parfois, de grandes opérations et campagnes qui ne peuvent être menées par une seule personne nécessitent la formation d’une équipe pour répartir la charge de travail. Dans d’autres cas, des logiciels malveillants et des outils conçus à des fins malveillantes sont échangés ou vendus à des affiliés afin de générer des revenus, sans que le développeur n’ait besoin d’être impliqué dans l’attaque. Les fils de discussion dans les forums de piratage sont remplis d’exemples similaires, ce qui met en évidence leur rôle important dans la cinquième génération du paysage des cybermenaces.

Au cours des dernières années, les autorités ont toutefois acquis une meilleure compréhension des défis auxquels elles sont confrontées, et leur emprise sur certains de ces forums s’est resserrée. Des chercheurs en sécurité ont été en mesure de retrouver plusieurs pirates grâce à leurs activités sur ces sites, et les autorités ont réussi à démanteler des forums. Les noms les plus récents et notables dans ce domaine étant Hansa Market et AlphaBay.

Bien qu’il existe encore de nombreux sites web fonctionnant selon le même principe dans Clearnet et Darknet, les exemples précédents indiquent à quel point ces sites peuvent être vulnérables. Leurs utilisateurs semblent en effet avoir atteint la même conclusion, car une migration vers une plate-forme plus secrète et facilement accessible est en cours.

Migration vers Telegram

Telegram, une application de messagerie instantanée chiffrée, lancée en 2013, a connu une augmentation fulgurante du nombre d’abonnés (5 millions de nouveaux utilisateurs en seulement 24 heures) à la suite d’un plantage du serveur de la plate-forme de messagerie WhatsApp. Comme avec WhatsApp, les utilisateurs de Telegram peuvent discuter avec d’autres utilisateurs ou des groupes. Ce qui le distingue, entre autres, c’est sa fierté dans ses fonctions de sécurité améliorées. Par conséquent, certains de ses groupes de discussion sont devenus une alternative utile aux forums secrets du Dark Web.

Les groupes de discussion de Telegram, appelés « chaînes », peuvent être utilisés pour diffuser des messages à un nombre illimité d’abonnés et, bien que l’historique des messages peut être consulté, toute réponse à des messages publics est confidentielle. La discrétion procurée par ces chaînes contribue grandement à déguiser leur malveillance. Tout cybercriminel disposant d’une offre douteuse ou souhaitant démarrer une discussion, peut profiter des conversations chiffrées et privées de bout en bout, au lieu des discussions exposées sur les forums en ligne. Si dans le passé plusieurs étapes étaient nécessaires pour assurer une connexion anonyme à TOR, tout utilisateur de Telegram peut aujourd’hui facilement et rapidement rejoindre des chaînes en un seul clic sur son smartphone, et commencer à recevoir des notifications de conversations et d’offres clandestines directement sur son smartphone, tout en maintenant son identité complètement cachée.

Chaînes de Telegram

La Russie est un pays dans lequel ces chaînes douteuses prospèrent et certaines ont déjà attiré des milliers d’abonnés. « Dark Jobs », « Dark Work » et « Black Markets », en sont de bons exemples bien qu’il en existe beaucoup d’autres.

Comme le suggèrent leurs noms, les messages échangés dans la chaîne « Dark Jobs » concernent généralement des offres d’emploi associées à un code couleur. Lorsqu’une offre d’emploi postée sur cette chaîne est dangereuse et susceptible de comporter des risques juridiques, elle est marquée de la couleur « noire », tandis que les offres d’emploi moins risquées sont marquées en « gris » ou en « blanc ».

Les chaînes ne sont pas limitées aux recruteurs et aux chercheurs d’emploi, mais offrent également des publicités pour la vente de documents dérobés ou d’outils de piratage. Cela est particulièrement inquiétant, compte tenu de l’accessibilité des chaînes et des promesses de salaires élevés faites à ceux qui pourraient autrement s’abstenir de participer ou qui n’ont aucun moyen d’atteindre ces marchés.

Des exemples d’annonces souvent utilisées dans de tels messages pour inciter des candidats à prendre ce genre d’emplois sont « Vous en avez assez de vivre chez vos parents ? », « Les filles préfèrent les types qui ont de l’argent », et d’autres accroches similaires. Les profits rapides offerts par ces publicités pourraient bien convaincre les membres de la chaîne de prendre ce raccourci lucratif, quoique douteux, au lieu d’une carrière pénible.

De ce fait, les taux de cybercriminalité risquent d’augmenter, car ces postes sont non seulement proposés ouvertement, mais sont également accessibles à des utilisateurs inexpérimentés, et mettent des outils dangereux à portée de tous.

Employés

Les messages les plus intéressants sont peut-être ceux qui recherchent des employés de certaines entreprises ou de banques. Les cybercriminels pourraient profiter de ces employés afin d’obtenir des informations privilégiées et des données confidentielles inaccessibles au public. Ces informations internes pourraient ensuite être utilisées à des fins personnelles, ou vendues, ou pour lancer une cyberattaque depuis l’intérieur de l’entreprise. Cela éliminerait ainsi l’efficacité de certaines solutions de sécurité. Après tout, avoir quelqu’un « à l’intérieur » est un avantage certain. Tout comme dans le monde réel, dans le monde de la cybercriminalité il ne s’agit pas toujours de ce que vous savez mais de qui vous connaissez.

Les employés des opérateurs de téléphonie mobile sont très recherchés et l’un des extraits ci-dessous explique pourquoi. Le personnel de ces entreprises peut être utilisé pour acquérir une grande quantité de numéros de téléphone. D’autres messages suggèrent qu’ils peuvent être utilisés pour collecter des informations personnelles et les historiques d’appel des clients.

Une autre offre d’emploi accrocheuse est celle recherchant des employés de Western Union ou de MoneyGram qui ont accès à certains systèmes. Apparemment, ces employés se voient offrir jusqu’à 1 000 dollars par jour (!) pour leurs efforts.

 ?
Piratage d’outils et de services

« Recherche pour un projet : Chiffreur fonctionnant sur tous les systèmes Windows de XP à 10. Contournant les principaux AV en particulier Avast et Defender ».

Ce message et bien d’autres sont un parfait exemple de la façon dont une personne sans expérience préalable dans le développement de logiciels malveillants peut mener entièrement ses activités à l’aide des chaînes de Telegram. Dans ce cas, l’annonceur cherche à externaliser la totalité d’un projet pour se charger uniquement du paiement.

Des utilisateurs novices peuvent également trouver des messages faisant la promotion d’outils furtifs d’extraction de crypto-monnaie qui s’exécutent à l’insu des victimes en échange de 600 roubles, ou encore des outils de vol d’informations qui recueillent des documents, des captures d’écran et des mots de passe en échange de 1 000 roubles. Cela rappelle fortement les forums fermés et cachés du Dark Web dans lesquels les utilisateurs publient des logiciels rançonneurs sous forme de service parmi d’autres familles de logiciels malveillants.

 ?
Documents officiels

D’autres services illégitimes dans certaines des chaînes les plus malhonnêtes de Telegram comprennent la falsification de documents officiels. Comme vous pouvez l’imaginer, les experts de Photoshop et les graphistes freelance sont très demandés sur ces marchés.

Les documents contrefaits comprennent des pièces d’identité, des passeports, des documents bancaires et plus encore. L’auteur de l’un des messages affirme même avoir des connexions à l’intérieur du département de la police de la circulation russe, et être en mesure d’émettre ou de mettre à jour des permis de conduire dans toutes les catégories. Des scans de passeports du monde entier sont également disponibles pour ceux « qui souhaitent contracter un emprunt » et ont besoin de documents à des fins de vérification. Ces types de transactions utilisent souvent les services d’un tiers (garant) pour s’assurer que la transaction se déroule bien entre l’acheteur et le vendeur, et que tout est en ordre.

 ?
Phénomène global

La Russie n’est pas le seul pays dans lequel ces chaînes gagnent en popularité. Ayant observé des chaînes similaires dans d’autres langues, notre analyse montre que cette méthode devient une tendance mondiale.

Certaines chaînes dans le monde arabe et en Iran, telle que la chaîne iranienne « AmirHack », possèdent plus de 100 000 abonnés. Ces chaînes semblent cependant plus se focaliser sur la diffusion d’outils de piratage et de comptes compromis que leurs équivalentes russes. Les captures d’écran ci-dessous montrent comment deux chaînes ont commercialisé un outils d’accès à distance ainsi qu’un outil pour pirater des comptes Instagram.

Conclusion

La commodité des chaînes de Telegram permet aux cybercriminels et à ceux qui souhaitent se lancer dans la cybercriminalité de communiquer de manière plus sécurisée et facilement accessible. Malheureusement, bien que les applications de messagerie fassent désormais partie intégrante de la vie moderne, et qu’elles se sont améliorées au fil des années pour assurer la sécurité des informations de leurs utilisateurs, elles profitent également à ceux qui fuient les regards indiscrets et la loi. Grâce à l’utilisation de tels outils, l’accès aux logiciels malveillants n’a jamais été aussi facile, des documents personnels et des certificats peuvent être diffusés vers des destinations inconnues, et les entreprises peuvent être menacées par leurs propres employés. Même avec des compétences limitées, le nombre de cybercriminels augmente et il n’est donc pas surprenant que le nombre de cyberattaques sur les entreprises et les individus augmente respectivement.


Voir les articles précédents

    

Voir les articles suivants