piai - stock.adobe.com

Infostealers : saisie des infrastructures de Redline et Meta

L’opération, nommée Magnus, a été annoncée ce 28 octobre au matin et pourrait avoir d’importantes conséquences à court, moyen et long terme. Des informations additionnelles sont attendues prochainement.

Le site Web de l’opération Magnus a d’abord été accueilli avec circonspection : est-ce vrai ? Les infrastructures des maliciels dérobeurs d’identifiants Redline et Meta ont-elles été véritablement saisies ? Mais son authenticité a été rapidement confirmée.

On peut ainsi y lire que, « le 28 octobre 2024, la police nationale néerlandaise, travaillant en étroite coopération avec le FBI et ses partenaires » a perturbé le fonctionnement des infostealers Redline et Meta. 

Les autorités impliquées sont même allées jusqu’à ouvrir un compte et publier l’annonce de l’opération sur un forum russophone bien connu des cybercriminels. On peut y lire que des mandats d’arrêt devraient être prochainement rendus publics. 

L’infostealer Redline compte parmi les plus fréquemment rencontrés. Selon les données de Recorded Future, au moins 227 millions d’identifiants ont été, en 2024, dérobés avec Redline et Meta. 

Les comptes Telegram de Meta et Redline, jusqu’à ceux des bots associés, ont été supprimés.

Les infostealers constituent une importante menace : les identifiants ainsi obtenus sont fréquemment exploités pour conduire des cyberattaques. Ce point de départ avait ainsi été identifié pour les brèches survenues chez Ticketmaster et Santander, plus tôt cette année ; les identifiants associés à un compte Showflake avaient été compromis.

Plus de 40 millions d’identifiants avaient été volés, en France, par des infostealers, en 2023, selon Recorded Future. Hudson Rock a, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023. 

Début juin, Have I Been Pwned a été enrichi de 122 Go de données provenant d’infostealers. Au total, il y avait là environ 361 millions d’adresses e-mail uniques, dont près de la moitié était jusque-là inconnues de Have I Been Pwned. Tout cela avait été collecté par un chercheur anonyme sur des chaînes Telegram – près de 520 – où elles étaient partagées gratuitement.

Qu’attendre de l’opération Magnus ?

L’opération Magnus devrait permettre d’obtenir une meilleure perspective sur l’ampleur de la menace que représentent les infostealers avec des statistiques inédites. Elle devrait également apporter un éclairage nouveau sur la menace des logs distribués gratuitement sur les chaînes Telegram spécialisées en la comparant aux volumes totaux.

L’opération Magnus devrait également déboucher, au moins à terme, sur de nouvelles opérations judiciaires contre des cybercriminels, à commencer par les clients de Redline et Meta, dont noms d’utilisateurs, mots de passe, et adresses IP de connexion ont pu être obtenus. 

L’accès à des logs inédits pourrait également fournir des éléments permettant d’identifier des auteurs de cybermalveillances sans le moindre lien avec les infostealers ou les ransomwares : les délinquants du numérique ne sont pas à l’abri de ces maliciels et certains ont déjà été identifiés, par le passé, grâce à eux.

Mais l’opération Magnus conduira-t-elle au reflux (à court ou moyen terme) du nombre de cyberattaques ? Pas nécessairement de manière significative. Car, non seulement Redline et Meta ne sont pas les seuls infostealers actifs, mais surtout, une large part du butin de ces maliciels reste vraisemblablement inexploitée. 

Des identifiants compromis seraient aux avant-postes de 40 % des cyberattaques. Mais certains fins observateurs sur X (anciennement Twitter) sont formels : « il y a tellement d’accès initiaux dans la nature qu’il n’y a pas assez de personnes pour les utiliser ». Clairement, de nombreuses victimes potentielles s’ignorent. Avec un peu de chance, les accès initiaux disponibles les concernant seront désuets – changements de mots de passe, déploiement de l’authentification à facteurs multiples (MFA), etc. – avant que quiconque ne s’y intéresse. 

Troisième grosse opération de 2024

L’opération Magnus n’en est pas moins importante. Elle constitue la troisième opération judiciaire de grande ampleur en 2024 contre l’écosystème cybercriminel. 

Dévoilée fin février, l’opération Cronos a fortement affecté l’activité de la franchise de rançongiciel LockBit 3.0. Mais son impact s’est fait ressentir au-delà, laissant un monde du ransomware plus fragmenté que jamais. Elle a également conduit à quatre premières arrestations.

Quelques mois plus tard, l’opération Endgame frappait un autre point de départ de cyberattaques : des botnets dont l’activité est très fortement liée aux cyberattaques débouchant sur le déclenchement de rançongiciels.

Pour approfondir sur Menaces, Ransomwares, DDoS