Selon un rapport de la société de cybersécurité Unit 42, le groupe de pirates informatiques « Automated Libra« , basé en Afrique du Sud, est à l’origine d’un système élaboré d’extraction de crypto-monnaies appelé « PurpleUrchin« , qui a coûté aux principaux fournisseurs de services en nuage, dont Microsoft et Salesforce, des millions de dollars en ressources et en factures impayées.
Le Freejacking fonctionne en utilisant des ressources cloud gratuites (ou à durée limitée) pour effectuer des opérations de crypto mining.
Le système d’Automated Libra utilisait frauduleusement les ressources des plateformes en nuage pour effectuer des opérations de minage de crypto-monnaies, puis échangeait les crypto-monnaies minées.
Tactiques de jeu et de fuiteSelon le rapport de l’Unité 42, au-delà de l’exploitation des essais gratuits, Automated Libra a également utilisé ce que l’on appelle une tactique de « play and run », par laquelle les acteurs ont utilisé les ressources en nuage de sociétés comme Microsoft et Salesforce pour effectuer des opérations de crypto mining sans payer les frais requis.
Pour ce faire, le groupe a créé et utilisé de faux comptes à l’aide de cartes de crédit falsifiées et volées.
L’unité 42 indique en outre que, même si l’un des plus gros soldes impayés découverts sur les faux comptes s’élevait à 190 dollars, d’autres comptes auraient pu générer des factures beaucoup plus importantes.
« …nous soupçonnons que les soldes impayés des autres faux comptes et services en nuage utilisés par les acteurs auraient pu être beaucoup plus importants en raison de l’échelle et de l’ampleur de l’opération de minage », indique le rapport.
Le rapport de l’Unité 42 indique qu’au plus fort de l’opération, en novembre 2022, Automated Libra avait créé plus de 130 000 faux comptes Github et Heroku.
En supposant que les comptes ont accumulé en moyenne 100 dollars d’impayés, le stratagème a coûté à Microsoft et Salesforce plus de 13 millions de dollars en ressources.
Github, propriété de Microsoft, et Heroku, propriété de Salesforce, sont des plateformes en nuage qui permettent aux développeurs de créer, d’exécuter et d’exploiter des applications entièrement dans le nuage, en l’occurrence des applications d’extraction de crypto-monnaies.
Pour créer les comptes, le groupe a utilisé xdotool, un outil utilisé pour générer automatiquement les entrées du clavier et de la souris, afin de remplir l’outil de création de compte Github.
Pour compléter le processus de création de compte, qui nécessite l’identification correcte d’une image « CAPTCHA« , le groupe a utilisé le kit d’outils ImageMagick, utilisé pour convertir, éditer et composer des photos numériques.
Grâce à cet outil, les pirates ont pu identifier correctement les images CAPTCHA, ce qui leur a permis de terminer automatiquement le processus de création de compte et de poursuivre les tactiques de « freejacking » et de « play and run« .
Source : Tech Cabal