Dans un manuel OPSEC : Comment les acteurs malveillants échappent à la détection

Dans un manuel OPSEC : Comment les acteurs malveillants échappent à la détection

Les perturbations dans les opérations de cybercriminalité ne résultent généralement pas de systèmes de détection avancés, mais de simples erreurs opérationnelles, telles que la réutilisation d’identités, une séparation insuffisante des infrastructures ou des métadonnées négligées.

Dans un récent post sur un forum de cybercriminalité, analysé par des chercheurs de Flare, un acteur malveillant présente un cadre d’OPSEC structuré spécifiquement pour des « opérations de carding à haut volume ». Ce message se concentre non pas sur les outils ou la monétisation, mais bien sur les stratégies visant à rester sous le radar.

Ce cadre est décrit comme une « méthodologie éprouvée qui a permis à des équipes de rester actives alors que d’autres ont été compromises. » Le contenu ressemble moins à une astuce de forum et plus à un manuel interne d’opérations, incluant une architecture à trois niveaux, une taxonomie des erreurs courantes et des mécanismes de contingence inspirés des techniques de renseignement.

Bien que de nombreuses techniques soient anciennes, leur organisation en un cadre opérationnel clair indique une approche plus méthodique pour maintenir des activités à grande échelle.

Une Architecture OPSEC à Trois Niveaux

L’acteur s’appuie sur un modèle d’infrastructure à trois niveaux, destiné à séparer l’exposition, l’exécution et la monétisation.

Niveau Public

Ce niveau devrait inclure des « dispositifs propres, des IP résidentiels renouvelés toutes les 48 heures, sans informations personnelles. » Chaque opérateur doit également conserver des identités distinctes.

Cette approche témoigne d’une bonne compréhension des capacités modernes de détection. Les systèmes de prévention de la fraude dépendent de la corrélation des identités et du suivi comportemental, faisant de la réutilisation d’identités un risque majeur.

Niveau Opérationnel

Ce niveau doit être complètement isolé du niveau public, avec une règle stricte : « jamais accessible depuis le niveau public. » L’acteur indique que ce niveau inclut des mesures visant à limiter la compromission d’une partie de l’opération sans exposer l’ensemble de l’infrastructure.

Ce modèle rappelle les écosystèmes cybercriminels modernes. Par exemple, des groupes de ransomwares comme LockBit fonctionnent en utilisant des modèles basés sur des affiliés, où différents acteurs ont des rôles séparés pour réduire les risques.

Niveau d’Extraction

Le dernier niveau se concentre sur la monétisation. L’acteur précise que ce niveau doit comprendre des « systèmes isolés avec des canaux de retrait dédiés » et, si possible, « isolés. » L’absence de contamination croisée entre les niveaux est également essentielle.

Cette séparation est cruciale, car les transactions financières constituent souvent le point où les enquêtes aboutissent. En isolant l’infrastructure de retrait, les acteurs tentent de rompre la chaîne d’analyse judiciaire entre les activités de fraude et la monétisation.

Flare screenshot of OPSEC advice from threat actor

Capture d’écran des conseils OPSEC d’un acteur malveillant

Les Erreurs Qui Mènent à l’Expose

L’acteur identifie plusieurs erreurs récurrentes qui continuent à exposer les opérations cybercriminelles.

Réutilisation d’Identités

La réutilisation d’accouts éphémères est considérée comme un risque majeur. Cette faille opérationnelle est souvent liée à des enquêtes où les forces de l’ordre ont réussi à établir des liens entre des acteurs à travers la réutilisation d’identités sur plusieurs plateformes.

Mauvaises Contre-Mesures de Fingerprinting

L’acteur critique les « contre-mesures de fingerprinting numériques insuffisantes. » Cette lacune souligne l’importance croissante du fingerprinting dans la détection de fraude.

Mauvaise Séparation des Étapes

L’absence de séparation adéquate entre les opérations d’acquisition et de retrait est également notée. Une utilisation de la même infrastructure pour plusieurs étapes facilite le suivi des activités.

Exposition de Métadonnées

Des problèmes de « gestion des métadonnées sur les matériaux opérationnels » sont également soulevés. Ce risque, bien que subtil, a été exploité dans plusieurs cas réels pour identifier des acteurs malveillants.

Techniques Avancées pour la Résilience

Au-delà des notions de base, l’acteur expose plusieurs techniques avancées visant à améliorer la durabilité opérationnelle.

  • Déclencheurs chronométrés : L’implémentation de « déclencheurs d’opérations chronométrés » peut réduire la corrélation entre actions et infrastructures.
  • Randomisation comportementale : Recommander de « randomiser les motifs comportementaux » pour échapper à la détection.
  • Vérification distribuée : Cette méthode suggère une validation multi-étapes à travers des systèmes ou des opérateurs.
  • Interrupteurs de sécurité : L’idée d’installer « des interrupteurs de sécurité pour les données critiques » est proposée pour limiter les dommages en cas de compromission.

Tactiques, Techniques et Procédures (TTP) Identifiées

Des TTPs clairement définies émergent des conclusions de l’acteur :

  • Ségrégation de l’infrastructure pour réduire le rayon d’impact.
  • Compartmentalisation des identités à travers différentes plateformes et couches.
  • Utilisation de proxies résidentiels et techniques anti-fingerprinting.
  • Séparation stricte des étapes opérationnelles.
  • Evasion comportementale par randomisation des motifs d’utilisateur.
  • Mécanismes de résilience comme les interrupteurs de sécurité et les déclencheurs chronométrés.

L’OPSEC comme Avantage Concurrentiel

Un des aspects les plus révélateurs du post est le positionnement de la sécurité opérationnelle. L’acteur indique : « Si vous utilisez encore des VPNs comme principale mesure de sécurité, il est temps d’élever votre niveau. »

La priorité est donnée à la durabilité opérationnelle plutôt qu’à la simple exécution. La séparation stricte entre les couches indique une volonté d’éviter toute interruption.

Que Peuvent Faire les Défenseurs ?

Bien que le message initial cible les acteurs malveillants, il offre des perspectives utiles pour les équipes de sécurité.

  • Investir dans la compréhension de la corrélation inter-plateformes : Établir des connexions entre activités à travers des comptes et des modèles comportementaux.
  • Évoluer la détection comportementale : Développer des systèmes d’analyse comportementale avancés.
  • Surveiller l’ensemble de la chaîne d’attaque : Connecter les signaux entre différentes phases.
  • Exploiter les métadonnées : Une analyse approfondie peut révéler des liens cachés.
  • Préparer des adversaires résilients : Les stratégies de défense doivent promouvoir la résilience et l’adaptabilité.

Ce post sur le forum met en lumière comment certains acteurs malveillants privilégient la durabilité sur l’accès à court terme, suggérant que les échecs proviennent davantage de problèmes de discipline que d’un manque d’outils.