Afrique du Sud : des hackers volent des données estimées à des millions de dollars à Microsoft et Salesforce

Dans un rapport publié le 05 janvier 2023 en ligne, des chercheurs en cybersécurité de Unit 42 du Palo Alto Networks ont annoncé le piratage de  Github, propriété de Microsoft, et Heroku, propriété de Salesforce basées respectivement en Afrique du Sud. Il s’agit des essais de masse gratuits réalisés par le groupe de piratage Automated Libra sur les plateformes citées plus haut.

À en croire Sysdig, l'activité observée est connue sous le nom de "freejacking". Un abus de calcul alloué pour les comptes d'essai gratuits sur les plates-formes CI/CD. L'abus de ressources gratuites en soi n'est pas nouveau et a déjà été signalé. Cela a en fait amené de nombreux fournisseurs de CI/CD à modifier leur approche des essais gratuits. Les tentatives des fournisseurs pour parer à cette fraude vont de la création de comptes avec CAPTCHA et d'autres technologies, qui prend plus de temps, à l'exigence d'une carte de crédit valide dans le dossier. Considérée comme l'équivalent cloud d'une escroquerie de coupons frauduleux à une échelle massivement automatisée, la puissance de calcul gratuit est le coupon et la crypto-monnaie, l'article à acheter.

Selon le rapport de Unit 42, la campagne de Automated Libra ne s'est pas arrêtée à abuser des essais gratuits limités de plates-formes telles que Github, propriété de Microsoft, et Heroku, propriété de Salesforce. Les chercheurs ont déclaré que le groupe s'était également livré à une fraude par carte de crédit. Cela leur a permis d'accumuler des factures de service cloud qu'ils n'ont finalement pas payées. En écoutant des phrases comme "dîner et se précipiter" et "hit and run", Unit 42 appelle cette pratique "Play and Run". Alors que les factures individuelles étaient relativement faibles, Automated Libra a trouvé des moyens de créer automatiquement des milliers de comptes à travers lesquels ils pouvaient voler des ressources."Bien que l'un des soldes impayés les plus importants que nous ayons trouvés était de 190 USD, nous soupçonnons que les soldes impayés dans d'autres faux comptes et services cloud utilisés par les acteurs [de la menace] auraient pu être beaucoup plus importants en raison de l'échelle et de l'étendue de l'exploitation minière" ont déclaré les chercheurs de Unit 42. Ils ont constaté qu'en septembre et novembre 2022, Automated Libra a créé 22 380 comptes Github.

Par ailleurs, si chacun d'entre eux a accumulé une facture impayée de 100 $, cela représente plus de 2 millions de dollars (34 millions de rands) de fraude présumée à la carte de crédit. Cela exclut les 100 723 comptes Heroku que le groupe a créés de novembre 2021 à juillet 2022. De plus, les chercheurs de Unit 42 ont mis en évidence une technique spécifique utilisée par le groupe pour vaincre la protection anti-bot CAPTCHA utilisée par Github. Ce qui entraîne le défi CAPTCHA pour les nouveaux utilisateurs voulant créer de nouveau compte d’identifier des galaxies spirales. Ainsi, la Unit 42 a déclaré qu'elle n'avait pas évalué l'efficacité de cette technique de résolution automatique de CAPTCHA. Cependant, le nombre de comptes créés par le groupe en un mois parle de lui-même.

En outre, les chercheurs ont déclaré avoir identifié plus de 40 portefeuilles cryptographiques individuels et sept crypto-monnaies ou jetons différents utilisés dans le cadre de l'opération PurpleUrchin : "Nous avons également identifié que des composants conteneurisés spécifiques de l'infrastructure que les acteurs ont créés n'étaient pas seulement conçus pour exécuter des fonctionnalités d'extraction, mais ils ont également automatisé le processus d'échange des crypto-monnaies collectées", ont-ils déclaré. Il faut rappeler que le groupe de piratage Automated Libra vendait ces crypto-monnaies extraites via plusieurs plateformes de trading, telles que CRATEX Exchange Market, Crex 24 et Luno.
 
Koffi Acakpo
Journaliste Digital