L'évolution des concours criminels sur les forums : des débuts inoffensifs aux entreprises lucratives

Sophos X-Ops présente son dernier rapport intitulé "For the win ? Offensive Research Contests on Criminal Forums" présente une étude des concours de recherche organisés par les forums de cybercriminalité afin de stimuler l'innovation dans le domaine des méthodes d'attaque. Ces concours ont une structure similaire aux "appels à communications" des conférences légitimes sur la sécurité et offrent aux gagnants des incitations financières considérables, la reconnaissance de leurs pairs et des opportunités professionnelles potentielles. Les contributions soumises dans le cadre de ces concours fournissent aux experts en cybersécurité un aperçu précieux des méthodes utilisées par les cybercriminels et de leur approche pour surmonter les barrières de sécurité.

"Le fait que les cybercriminels organisent, participent et même sponsorisent ces concours suggère qu'il existe un objectif commun de développement de leurs tactiques et techniques. Il existe même des preuves que ces concours servent d'outil de recrutement auprès de groupes de cybercriminels éminents", déclare Christopher Budd, directeur de la recherche sur les menaces chez Sophos.

Auparavant plutôt inoffensif, aujourd'hui c'est une question de gros sous

Au départ relativement inoffensifs, les concours criminels sur les forums sont devenus aujourd'hui des entreprises lucratives. La tradition de ces concours remonte déjà à de nombreuses années, mais il est fascinant de voir comment ils se sont transformés au fil du temps. Au début, ces actions se limitaient à des quiz, des concours de design graphique et des jeux de devinettes. Aujourd'hui, cependant, les membres des forums sont encouragés à soumettre des articles techniques, y compris des codes sources, des vidéos et/ou des captures d'écran. Ces œuvres sont ensuite évaluées par les autres utilisateurs du forum afin de déterminer le gagnant. Il convient toutefois de noter que l'évaluation n'est pas totalement transparente, car les opérateurs du forum et les sponsors du concours semblent avoir des privilèges de vote spéciaux.

"Alors que nos recherches montrent une concentration accrue de la cybercriminalité sur des sujets liés au Web 3, tels que les crypto-monnaies et les NFT, de nombreuses soumissions gagnantes des concours avaient en revanche une application plus large. Elles se distinguaient par le fait qu'elles pouvaient être utilisées quasi immédiatement et qu'elles n'étaient souvent pas très innovantes. Cela pourrait soit révéler les priorités de la communauté, soit démontrer que les attaquants veulent garder pour eux les meilleurs résultats de leurs recherches, afin de ne pas se faire prendre la main dans le sac et de pouvoir ensuite utiliser leurs nouvelles tactiques de manière rentable dans des attaques réelles", poursuit Christopher Budd.

Sophos a examiné deux concours de plus près

Sophos X-Ops a analysé deux compétitions importantes qui ont lieu chaque année. Il s'agit d'une part d'une série d'événements organisés lors du forum de cybercriminalité de langue russe Exploit en 2021, avec un prix de 80 000 dollars américains à la clé. D'autre part, une autre série de concours sur le forum dit XSS en 2022 a été étudiée, avec un prix de 40 000 dollars à la clé. Pendant plusieurs années, des membres renommés de la communauté de la cybercriminalité ont soutenu financièrement ces événements, notamment All World Cards et Lockbit.

Dans les concours les plus récents, Exploit a axé ses appels d'offres sur les crypto-monnaies, tandis que XSS couvrait une grande variété de sujets, de la manipulation sociale et des vecteurs d'attaque aux stratégies d'évitement et aux offres de fraude. De nombreuses contributions gagnantes se sont concentrées sur l'utilisation d'outils légitimes tels que Cobalt Strike à des fins abusives. Un deuxième a soumis un tutoriel expliquant comment réaliser des Initial Coin Offerings (ICO) pour lever des fonds pour une nouvelle crypto-monnaie, et un autre tutoriel a montré comment manipuler les privilèges pour désactiver Windows Defender.