Introduction à Spectre
Plusieurs groupes et acteurs de la cybercriminalité existent dans les communautés en ligne avec l'objectif explicite de l'hacktivisme, qui se définit comme l'utilisation de techniques informatiques telles que le piratage informatique comme une forme de désobéissance civile pour promouvoir un programme politique ou un changement social. Ces groupes ne sont pas motivés par des raisons financières et sont rarement vus en train d'extorquer leurs victimes ou de vendre des données volées, mais plutôt de les donner au monde. Historiquement, on pourrait en dire autant d'un acteur de la menace connu sous le nom de Spectre (souvent vu sous les noms de spectre123, spectre05 et intelbroker en ligne), un leader probable d'un groupe d'hacktivistes connu sous le nom de CyberGuerilla. Spectre gère un groupe Telegram et un site Web où ils publient régulièrement des fuites généralement ciblées par le gouvernement, contenant souvent des fichiers liés aux droits de l'homme ou aux activités militaires.
Les priorités de Spectres changent sur le plan financier
Dans le groupe Telegram Spectre, aucun fichier n'a été mis en vente. Ils publient toujours des fuites gratuitement, ce qui est cohérent avec les motivations d'un hacktiviste. Cependant, plus tôt ce mois-ci, Spectre a proposé plusieurs gigaoctets de données de la police italienne pour le prix de 5,000 XNUMX dollars.
Fig 1 – Spectre répertorie les dossiers de la police fédérale italienne à vendre
La semaine dernière, Spectre a proposé à la vente 20 gigaoctets de données et de documents navals et opérationnels sri-lankais sur un forum de cybercriminalité populaire du clearnet et du darkweb, pour le prix de 5,000 XNUMX dollars, affirmant avoir obtenu les données d'un initié militaire sri-lankais.
Fig 2 – Spectre affirme que les dossiers militaires du Sri Lanka proviennent d’un initié
Vente massive de données militaires et policières par Spectres
Fig 3 – Affichage sur Spectre du 29 juin 2023 de 16 séries de documents militaires classifiés.
Cet intérêt récent pour la marchandisation de leurs activités hacktivistes a abouti à la mise en vente par Spectre d’une collection massive de documents gouvernementaux, couvrant une grande variété de cibles militaires et commerciales. Cela comprend des schémas classifiés, des logiciels de systèmes de drones et même un accès à distance aux systèmes militaires des Philippines.
Les victimes, les fichiers à vendre, la provenance des données et les prix des fuites sont les suivants :
Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.
Paquet de fuites | Identifier | Taille du paquet | Prix |
Dossiers de Raytheon concernant une technologie de défense confidentielle et exclusive | Non listé | 200 Mo | $10,000 |
Schémas détaillés des avions Elbit Systems contrôlés par ITAR | Non listé | 300 + fichiers | $2,000 |
Documents sur les systèmes de drones et de missiles de la DARPA (plusieurs centaines de gigaoctets de fichiers couvrant 9 produits de la DARPA, y compris des plans, de la documentation et des logiciels) | Non listé | 200+ Go | $80,000
OR 8,000 $ par produit |
Dossiers d'exercices militaires marqués SECRET//RELATIF AUX CINQ YEUX | Militaire Insider | Un seul fichier | $300 |
Dossiers de l'armée de l'air concernant le développement d'un « certain matériau » | Non listé | 150 Mo | $150 |
Marine et garde-côtes des Philippines | Non listé | 15,000 3 fichiers, XNUMX Go | $3,000 |
Documents et bases de données des forces armées des Philippines | Non listé | 15,000 8 fichiers, XNUMX Go, sauvegardes de bases de données | $3,000 |
Accès à distance au système des forces armées philippines via Shell | Non listé | 1 Coquille | Inclus dans le package ci-dessus |
Opérations d'artillerie indiennes | Militaire Insider | 3.5 Go | $2,500 |
Plans de bataille de l'Inde et du Pakistan | Non listé | 1.5 Go | $2,000 |
Dossiers de l'armée indienne | Non listé | 21,000 44 fichiers, XNUMX Go | $10,000 |
Dossiers d'aviation Blueberry concernant les avions militaires et commerciaux | Non listé | 20GB | $8,000 |
Documents de la police fédérale italienne | Courriel compromis | 5.5GB | $5,000 |
Dossiers militaires et présidentiels de l'Équateur | Systèmes gouvernementaux compromis | 28,000 6 fichiers, XNUMX Go | $5,000 |
Marine sri-lankaise | Militaire Insider | 1 GB | $1,000 |
Renseignements navals sri-lankais | Militaire Insider | 19.5 GB | $1,000 |
Programme spécial de remplacement des communications des forces armées britanniques (concernant l'ATC militaire, les liaisons de données tactiques et une variété d'aéronefs et de systèmes d'armes). | Non listé | 210 MB | $6,000 |
HJSC – Le fabricant sud-coréen de navires d’assaut naval dépose un dossier | Système d'entreprise compromis | 10+ Go | $8,000 |
Authenticité de la fuite
Les fuites précédentes de Spectre concernant des actions généralement motivées par des raisons politiques contre des cibles comme le gouvernement russe semblent être omniprésentes, couvrant un très large éventail de cibles et de programmes. Les plus notables étant le projet DARPA, sa documentation et son logiciel. Pour pratiquement toutes ces fuites, Spectre publie des échantillons de chaque bundle pour que l'acheteur potentiel puisse vérifier son authenticité. L'équipe de recherche sur les menaces de Foretraces a confirmé que les fichiers semblaient authentiques, bien qu'elle continue d'enquêter pour confirmation. Certains échantillons analysés sont inclus ci-dessous, que nous avons floutés pour masquer le contenu sensible :
Fig 5 – Exemples de fichiers du programme de communication spécial des forces armées britanniques
Fig 6 – Exemple de fichiers du Sri Lankan Military Insider
Fig 7 – Exemple de dossiers de la police fédérale italienne
Fig 8 – Exemple de dossiers des forces armées des Philippines
Fig 9 – Exemple de dossier militaire américain marqué « SECRET »
Outre l'authenticité des fichiers actuellement mis en vente, Spectre a une longue histoire de publication gratuite de fichiers militaires en ligne, ce qui suscite souvent une réponse et une enquête de la part des entités concernées. Spectre n'a pas la réputation en ligne d'un escroc ou d'un fraudeur, mais plutôt d'un hacktiviste actif et passionné. Jetons un œil à son historique en ligne jusqu'à présent :
Spectres Histoire du hacktivisme en ligne
Fig 10 – Rôle des Spectres dans CyberGuerrilla
Spectre s'est fait connaître en mars 2019 avec la publication de son référentiel sur le darkweb pour les documents et données de renseignements militaires volés, intitulé à juste titre « Intel Repository ». Spectre, même cette année encore, continue de publier et d'acheter des fuites auprès de diverses sources, notamment des cybercriminels, d'autres hacktivistes et du personnel au sein de l'armée, et de les publier sur son groupe Telegram et son référentiel de renseignements sur le darkweb.
Bien que Spectre propose occasionnellement des données à la vente sur les forums RAID, aujourd'hui disparus, et sur les forums Breach récemment restaurés, il s'agit de la première fois qu'il met en vente une énorme publication de type marketplace contenant de nouvelles fuites. En règle générale, Spectre publie simplement des fuites gratuitement dans la section « Informations confidentielles/sensibles » de son site Web.
Fig 11 – L'onglet « Intel disponible à la vente » sur Spectres Intel Repository – un référentiel gratuit pour les fuites de données provenant d'initiés militaires, de pirates informatiques et d'hacktivistes.
La marchandisation croissante des données militaires compromises représente un changement intéressant dans les objectifs des hacktivistes. En général, les hacktivistes comptent sur des dons ou agissent simplement sans compensation. La mise en vente de ces données plutôt que leur publication gratuite constitue un signe intéressant – potentiellement que même les hacktivistes ne sont pas à l’abri des crises économiques, et ont recours à la vente de leurs données compromises au lieu de les publier comme d’habitude.
Suivi avec Spectre
Fig 12 – Capture d’écran d’une communication récente avec Spectre
Dans une communication exclusive avec Spectre obtenue par l'équipe de recherche sur les fuites de données de Foretrace, Spectre a expliqué que ses motivations politiques s'étendent jusqu'à « avoir un effet de toute sorte sur les nations les plus grandes et les plus oppressives en plus de diffuser les connaissances dont je dispose ». Et pour répondre à la question de savoir pourquoi ces packs sont à vendre, alors que Spectre les publie généralement gratuitement - « J'ai déjà un grand nombre de fuites disponibles gratuitement sur mon site Web. Et j'utilise l'argent que je gagne grâce à cela pour subvenir à mes besoins et à ceux de mes opérations tout en utilisant également les fonds pour acquérir plus d'informations à distribuer gratuitement. »
Impacts et tendances
Victimes
Les victimes d’une vente comme celle-ci sont principalement celles qui ont été touchées par les fuites de renseignements, notamment les armées américaine, britannique, indienne, philippine, sud-coréenne et sri-lankaise, ainsi que Raytheon, Elbit, Blueberry Aviation et HJSC. Dans ce cas, des documents relatifs à divers systèmes d’armes sophistiqués classifiés, à la technologie des drones, aux avions habités et aux dossiers de renseignements militaires sont désormais disponibles à un prix. Plus précisément, un prix qui est probablement assez digeste pour un gouvernement qui tire profit du simple fait d’acheter les schémas des systèmes et des plans de ses ennemis, plutôt que de dépenser des millions de dollars et d’innombrables heures de travail pour rétroconcevoir ces systèmes et mener des opérations d’espionnage pour obtenir des renseignements supplémentaires. Désormais, ils n’ont plus qu’à passer leur carte et le travail le plus dur est fait.
Menaces d'initiés
Plusieurs fuites de données de Spectre auraient été provoquées par des initiés. En général, cela signifie qu'un militaire ou un sous-traitant qui a un accès privilégié à ces données les transmet volontairement à Spectre ou à d'autres groupes qui les partagent ensuite avec Spectre, soit pour un bien perçu comme supérieur, soit pour un avantage financier. La menace interne a toujours été une priorité pour les organisations et les armées, et malgré les efforts accrus pour faire face à ce risque, elle continue de provoquer des incidents massifs comme celui-ci.
Recommandations
Comprendre les points de contact externes
Il a fallu contacter des initiés pour obtenir plusieurs collectes de ces données confidentielles, parfois classifiées et exclusives. Il est essentiel de comprendre l'empreinte des points de contact au sein de votre organisation, y compris les e-mails, numéros de téléphone et profils de réseaux sociaux publiquement recensables, pour comprendre l'empreinte complète de votre exposition. En comprenant les comptes et les points de contact les plus accessibles et en leur appliquant des configurations de sécurité strictes ou des politiques de journalisation améliorées, vous pourrez garder un œil sur les emplacements où les personnes au sein de votre organisation reçoivent le plus souvent des communications et envoient des données.
supervision proactive
Tirez parti de l'automatisation pour parcourir les fichiers, les emplacements de stockage et les forums en ligne à la recherche de la présence ou de la discussion des données de votre organisation.
Foretrace fournit des fonctionnalités de détection d'exposition de données pour aider nos clients à détecter les fuites et les expositions de données avant qu'elles ne deviennent des violations de données coûteuses. Suivez Foretrace sur Twitter et LinkedIn pour rester informé de nos recherches sur les fuites de données.