IntelBroker est un groupe de pirates informatiques actif depuis octobre 2022, ayant mené plusieurs cyberattaques de haut profil. Parmi leurs cibles figurent Europol, Pandabuy et Apple, avec plus de 80 ventes et fuites de données compromises qui leur ont été attribuées. Ils affirment résider actuellement en Russie pour des raisons de sécurité.

Description

modifier

IntelBroker a commencé ses activités en octobre 2022 en s'attaquant à des organisations mineures, mais n'a acquis de notoriété qu'en 2023 après une attaque contre le service de livraison de nourriture "Weee!"[1],[2]. Bien qu'il ait été spéculé qu'il pourrait s'agir d'une équipe très compétente, possiblement Advanced Persistent Threat, une interview avec The Cyber Express a révélé qu'il pourrait s'agir d'une seule personne. Cependant, cette information n'a pas été confirmée. Lors de l'interview, plusieurs détails personnels ont été dévoilés, dont sa nationalité serbe et leur lieu de résidence actuel en Russie pour des raisons de sécurité. IntelBroker est devenu le fondateur actif du forum de cybercriminalité BreachForums et contribue souvent au groupe de hacking raciste CyberNiggers. En juin 2024, ils avaient publié plus de 80 fuites et ventes d'informations compromises sur BreachForums, et ils affirmaient avoir vendu les informations de plus de 400 organisations.

Ransomware Endurance

modifier

Le ransomware Endurance, créé par IntelBroker, est une variante unique écrite en C# et dont le code source est disponible publiquement sur leur page GitHub. Bien qu'il soit étiqueté comme rançongiciel, ce logiciel écrase et supprime ensuite tous les fichiers ciblés. Le Departement de la Defense des Etats-Unis a confirmé que Endurance avait été utilisé par IntelBroker pour pirater plusieurs agences gouvernementales américaines. Il a été spéculé que Endurance pourrait être lié au logiciel de suppression Shamoon, parfois utilisé par des hackers iraniens, bien qu'IntelBroker ait nié cette connexion.

Violation de donnée

modifier
  • Weee!: En février 2023, Weee!, une start-up américaine de livraison de courses en ligne spécialisée dans les produits asiatiques et hispaniques, a révélé qu'elle avait été victime d'un piratage majeur[1],[2]. Les cybercriminels ont réussi à dérober les informations de 1,1 million de comptes clients et les détails de 11,3 millions de commandes. Les données volées comprenaient les noms, adresses, adresses e-mail, numéros de téléphone et commentaires de commandes des clients ayant passé des commandes entre le 12 juillet 2021 et le 12 juillet 2022.
  • DC Health Link: En février 2023, IntelBroker a revendiqué la responsabilité d'une cyberattaque majeure contre DC Health Link, le portail en ligne de l’assurance santé pour les fonctionnaires et les employés fédéraux aux États-Unis[3]. Cette attaque a conduit à une fuite importante de données sensibles, incluant des informations personnelles et médicales de milliers d'individus. Les données personnelles compromises comprenaient des informations telles que les noms, adresses, numéro de sécurité sociale, et détails de santé des utilisateurs. Cette fuite a suscité une grande inquiétude parmi les victimes, qui craignaient des risques accrus de fraude et de vol d'identité. IntelBroker a publié ces informations sur des forums de cybercriminalité. Selon certaines sources, le FBI aurait acheté les données volées dans le cadre de ses efforts pour enquêter sur l'attaque et protéger les victimes.
  • Pandabuy: Le 31 mars 2024, IntelBroker a assisté dans le piratage du site de e-commerce chinois Pandabuy, avec les données des utilisateurs vendues dans une base de données sur BreachForums pour un modeste paiement en Bitcoin "symbolique"[4]. Les informations avaient initialement fait l'objet d'une extorsion par les hackers, et Pandabuy aurait payé les pirates informatiques pour que la divulgation des données cesse[5]. Selon certaines sources, Pandabuy aurait payé plusieurs dizaines de milliers de dollars aux hackers, bien que cette information ne soit pas confirmée. Malgré ce paiement, la fuite a continué. IntelBroker et Sanggiero ont affirmé que la fuite contenait les noms, coordonnées, commandes et adresses de plus de 3 millions de clients de Pandabuy. Cependant, une analyse par Troy Hunt, créateur de "Have I Been Pwned?", a révélé que seulement environ 1,3 million d'entrées étaient réelles, le reste contenant des adresses e-mail inexistantes. Pandabuy a tenté de censurer les publications sur ses pages Discord et Reddit pour couvrir la fuite, avant d'offrir un "subside de 10 % sur les frais de port" comme compensation. Ces actions ont été mal reçues par les clients de Pandabuy. Le 3 juin 2024, Sanggiero a annoncé sur BreachForums qu'il allait vendre toutes les informations de la fuite, contenant plus de 17 millions d'entrées d'utilisateurs, pour 40 000 $. Ils avaient de nouveau procédé à une extorsion des informations auprès de Pandabuy, qui a refusé de payer, car les conditions initiales avaient été violées et les informations avaient déjà été vendues.
  • Europol: Le 10 mai 2024, IntelBroker a annoncé sur BreachForums avoir obtenu l'accès à 9 128 dossiers confidentiels de l'agence de sécurité intérieure de l'Union européenne Europol[6], incluant des informations sur les employés, le code source et des documents de directives. La majorité des dossiers provenaient de la plateforme Europol Platform for Experts, une plateforme de discussion pour les forces de l'ordre, ainsi que du programme de preuves électroniques SIRIUS. Europol a confirmé que la fuite était réelle, mais a affirmé qu'elle ne contenait que des informations provenant de la Europol Platform for Experts et de SIRIUS, et qu'aucune information opérationnelle n'avait été compromise. IntelBroker a annoncé qu'ils accepteraient des offres pour les données en Monero, qui ont été vendues le 11 mai.
  • Apple: En juin 2024, IntelBroker a affirmé sur X avoir acquis le code source de plusieurs outils internes d'Apple, avant de publier ce code sur BreachForums[7]. Ces outils étaient liés à des processus internes d'Apple, tels que l'authentification des utilisateurs et le partage d'informations au sein du réseau d'Apple. Une analyse ultérieure réalisée par des experts et des ingénieurs a révélé que le code divulgué n'était pas du code source, mais plutôt des plugins pour des outils internes. Cependant, ce code représentait toujours un risque pour la sécurité et pourrait potentiellement être utilisé par des parties malveillantes.
  • AMD: Le 17 juin 2024, IntelBroker a affirmé sur BreachForums avoir compromis le géant des semi-conducteurs AMD et proposait à la vente les données volées[8],[9]. Les échantillons fournis comprenaient des informations sur les futurs produits, des données sur les employés, des informations sur les clients, du code source et des documents financiers. AMD a rapidement contacté les autorités pour enquêter sur la fuite de données. Peu après, AMD a déclaré que la violation était limitée en portée, n'affecterait pas les opérations de l'entreprise et a suggéré qu'elle n'incluait pas d'informations sur les employés ou les clients, ce qui contredisait le rapport initial de The Cyber Express. Bloomberg LP a corrélé l'attaque avec une baisse de 2,4 % du cours de l'action d'AMD peu après l'annonce de la fuite.

Références

modifier
  1. a et b Ashish Khaitan, « Weee! Data Breach: 11M User Records Leaked By Unknown Threat Actor », sur The Cyber Express, (consulté le )
  2. a et b « Exclusive IntelBroker Interview: Inside The Mind Of A Hacker », sur The Cyber Express, (consulté le )
  3. « FBI : Une violation de données de santé frappe des membres du Congrès », sur Newslooks, (consulté le )
  4. « La fuite de données de la plateforme d’achat PandaBuy affecte 1,3 million d’utilisateurs », sur The Cyber Express, (consulté le )
  5. « Qu'est-il arrivé à Pandabuy ? Pandabuy est-il légitime ? Un examen complet »,
  6. Mélina Loupia, « Le célèbre hacker IntelBroker revendique avoir piraté Europol » (consulté le )
  7. June Cantillon, « Plusieurs outils internes d'Apple ont été piratés », sur Mac4ever, (consulté le )
  8. Rémi B., « AMD enquête sur un prétendu hack de données confidentielles », sur Comptoir Hardware,
  9. Bongseok Kwon, « Un groupe de cybercriminels dit avoir piraté des données internes d'AMD », sur Zdnet,