Selon le nouveau rapport Sysdig, le groupe CrystalRay a multiplié par 10 ses cyberattaques ces dernières semaines. Et pour mener ses opérations de vols d’identifiants et de cryptomining, le groupe combine une série d’outils open source bien connus en une boîte à outils redoutable.
Comme les couteaux, bien des utilitaires de l’univers open source peuvent se révéler dangereux et se transformer en armes une fois entre les mains de personnes malintentionnées.
Depuis ses premières opérations repérées en février dernier par les chercheurs de Sysdig, le groupe de hackers CrystalRay a intensifié ses campagnes d’attaques ciblées. En quelques mois, plus de 1800 entreprises ont été victimes de ces agissements, dont une quarantaine d’entités françaises.
De telles organisations cybercriminelles sont évidemment légion. Mais ce qui a interpelé l’équipe de recherche de menaces de Sysdig n’est pas tant les activités et cibles de ce groupe que la boîte à outils qu’ils utilisent. Le groupe se démarque en effet par une utilisation étendue d’outils de sécurité open source pour mener des cyberattaques à grande échelle.
Le modus operandi de CrystalRay repose en effet sur une combinaison sophistiquée d’outils open source tels que zmap, httpx, nuclei et SSH-Snake. Ces outils classiques de l’univers des pentesters et de debugging de réseau sont ici utilisés pour scanner massivement Internet à la recherche de systèmes vulnérables, puis pour exploiter ces failles afin de prendre le contrôle des machines ciblées.
Une fois l’accès obtenu, les pirates déploient des outils de persistance comme Platypus ou Sliver, leur permettant de maintenir un contrôle à long terme sur les systèmes compromis. CRYSTALRAY cherche ensuite à étendre son emprise en se déplaçant latéralement au sein des réseaux victimes, notamment grâce à l’outil SSH-Snake qui exploite les clés SSH découvertes.
Voir des cybercriminels exploiter des outils open source comme ceux des « Pentesters » n’est bien évidemment pas nouveau. Mais c’est l’échelle à laquelle ils sont ici utilisés qui étonne les équipes de Sysdig ainsi que le côté très mécanique et organisé de l’enchaînement des outils pour porter les attaques. Les hackers de CrystalRay ne prennent pas la peine de développer leurs propres outils et scripts pour compromettre les domaines et machines exposés : ils exploitent autant que possible tout un arsenal open source et se contentent le plus souvent d’utiliser les « Proofs of Concepts » publiés ici et là pour déposer des codes malveillants et réaliser leurs exfiltrations de données. D’ordinaire, les attaquants évitent d’utiliser des outils open source qui sont souvent bien connus, maîtrisés et détectés par les cyber-défenseurs. D’un autre côté, ces outils sont souvent très évolués afin de permettre aux RSSI et à leurs équipes de comprendre et répliquer les scénarios d’attaques, ce qui les rend d’autant plus redoutables entre de mauvaises mains…
Selon Sysdig, les motivations de ce groupe seraient principalement financières. Les chercheurs ont découvert que CrystalRay collecte et vend des identifiants volés sur des forums du dark web, générant potentiellement des milliers de dollars de revenus. Le groupe déploie également des logiciels de minage de cryptomonnaies sur les machines infectées, rapportant environ 200 dollars par mois.