Comment l'unité de cybercriminalité de Microsoft a évolué pour lutter contre l'augmentation des menaces
-
Microsoft a affiné sa stratégie pour contrecarrer la cybercriminalité mondiale et les acteurs soutenus par l’État.
Centre de cybercriminalité de Microsoft.Les gouvernements et l’industrie technologique du monde entier se sont efforcés ces dernières années de freiner la montée de l’escroquerie et de la cybercriminalité en ligne. Pourtant, même avec les progrès en matière de défense numérique, d’application et de dissuasion, les attaques de ransomwares , les compromissions de messagerie professionnelle et les infections de logiciels malveillants continuent de se produire. Au cours de la dernière décennie, la Digital Crimes Unit (DCU) de Microsoft a élaboré ses propres stratégies, à la fois techniques et juridiques, pour enquêter sur les escroqueries, démanteler les infrastructures criminelles et bloquer le trafic malveillant.
La DCU est bien entendu alimentée par la taille massive de Microsoft et la visibilité sur Internet que procure la portée de Windows. Mais les membres de l’équipe DCU ont répété à plusieurs reprises à WIRED que leur travail était motivé par des objectifs très personnels de protection des victimes plutôt que par un vaste programme politique ou un mandat d’entreprise.
Dans sa dernière action, la DCU a annoncé mercredi soir des efforts visant à perturber un groupe de cybercriminalité que Microsoft appelle Storm-1152. Intermédiaire dans l’écosystème criminel, Storm-1152 vend des services logiciels et des outils tels que des mécanismes de contournement de la vérification d’identité à d’autres cybercriminels. Le groupe est devenu le premier créateur et fournisseur de faux comptes Microsoft, créant environ 750 millions de comptes frauduleux que l’acteur a vendus pour des millions de dollars.
La DCU a utilisé des techniques juridiques qu’elle a perfectionnées au fil des années en matière de protection de la propriété intellectuelle pour lutter contre la tempête 1152. L’équipe a obtenu le 7 décembre une ordonnance du tribunal du district sud de New York pour saisir une partie de l’infrastructure numérique du groupe criminel aux États-Unis et supprimer des sites Web, notamment les services 1stCAPTCHA, AnyCAPTCHA et NoneCAPTCHA, ainsi qu’un site vendant de faux Comptes Outlook appelés Hotmailbox.me.
La stratégie reflète l’évolution de la DCU. Un groupe appelé « Digital Crimes Unit » existe chez Microsoft depuis 2008, mais l’équipe dans sa forme actuelle a pris forme en 2013 lorsque l’ancienne DCU a fusionné avec une équipe de Microsoft connue sous le nom d’Intellectual Property Crimes Unit.
“Les choses sont devenues beaucoup plus complexes”, déclare Peter Anaman, chercheur principal de la DCU. « Traditionnellement, une ou deux personnes travaillaient ensemble. Maintenant, lorsque vous envisagez une attaque, il y a plusieurs joueurs. Mais si nous pouvons le décomposer et comprendre les différentes couches impliquées, cela nous aidera à avoir plus d’impact.
L’approche technique et juridique hybride de la DCU pour lutter contre la cybercriminalité est encore inhabituelle, mais à mesure que l’écosystème cybercriminel a évolué – parallèlement à ses chevauchements avec des campagnes de piratage soutenues par l’État – l’idée d’employer des stratégies juridiques créatives dans le cyberespace est devenue plus courante. Ces dernières années, par exemple, WhatsApp, propriété de Meta, et Apple ont tous deux engagé des poursuites judiciaires contre le célèbre fabricant de logiciels espions NSO Group.
Pourtant, la progression particulière de la DCU était le résultat de la domination unique de Microsoft lors de l’essor de l’Internet grand public. Alors que la mission du groupe devenait plus précise face aux menaces de la fin des années 2000 et du début des années 2010, comme le ver très répandu Conficker, l’approche peu orthodoxe et agressive de la DCU a parfois suscité des critiques pour ses retombées et son impact potentiel sur les entreprises et les sites Web légitimes.
“Il n’existe tout simplement aucune autre entreprise qui adopte une approche aussi directe pour lutter contre les fraudeurs”, a écrit WIRED dans un article sur la DCU d’octobre 2014. “Cela rend Microsoft plutôt efficace, mais aussi un peu effrayant, disent les observateurs.”
Richard Boscovich, avocat général adjoint de la DCU et ancien procureur adjoint des États-Unis dans le district sud de la Floride, a déclaré à WIRED en 2014 qu’il était frustrant pour les personnes au sein de Microsoft de voir des logiciels malveillants comme Conficker se déchaîner sur le Web et d’avoir l’impression que l’entreprise pourrait améliorer les défenses de ses produits, mais ne fait rien pour s’attaquer directement aux acteurs derrière ces crimes. Ce dilemme a stimulé les innovations de la DCU et continue de le faire.
« Qu’est-ce qui affecte les gens ? C’est ce qu’on nous demande de faire, et nous avons développé la capacité de changer et de nous attaquer à de nouveaux types de criminalité », déclare Zoe Krumm, directrice de l’analyse de la DCU. Au milieu des années 2000, dit Krumm, Brad Smith, aujourd’hui vice-président et président de Microsoft, a joué un rôle moteur dans l’attention portée par l’entreprise à la menace du spam par courrier électronique.
« La DCU a toujours été un peu une équipe d’incubation. Je me souviens que tout d’un coup, c’était comme : « Nous devons faire quelque chose contre le spam. » Brad vient dans l’équipe et il dit : « OK, les gars, élaborons une stratégie. » Je n’oublierai jamais que c’était simplement : « Maintenant, nous allons nous concentrer ici. » Et cela a continué, qu’il s’agisse de l’évolution des logiciels malveillants, de la fraude au support technique, de l’exploitation des enfants en ligne ou de la compromission de la messagerie professionnelle.
Au fur et à mesure que le groupe a mûri et s’est développé dans tous ces domaines, Boscovich dit que « la préoccupation d’être exposé à la responsabilité et au risque » est un autre élément du travail qui l’empêche de dormir la nuit.
« Vous voulez aider et vous voulez faire toutes ces choses, mais parfois aucune bonne action ne reste impunie », dit-il. « Parfois, nous essayons d’aider quelqu’un – et pour l’aider, vous éteignez en quelque sorte son ordinateur – et même si vous essayez de l’aider, sa petite entreprise tombe en panne. Alors, comment gérez-vous cela ? Cela a toujours été la partie la plus difficile de mon travail. La créativité juridique est cool, mais comment puis-je m’assurer qu’il s’agit d’un risque acceptable et que nous étudions tout pour qu’il n’y ait pas de dommages collatéraux ? »
Les stratégies juridiques sur lesquelles le groupe s’est concentré évoluent à mesure que les menaces numériques évoluent. En 2016, la DCU a commencé à adopter l’approche consistant à créer un tribunal « maître spécial » lorsqu’elle travaille sur des perturbations liées au piratage parrainé par l’État. Ce fonctionnaire nommé par le juge est un point de contact direct pour les affaires en cours et reste même actif pendant des années après la clôture officielle d’une affaire, permettant à la DCU d’obtenir l’approbation du tribunal pour le démantèlement d’infrastructures et d’autres actions sans avoir à déposer de nouvelles ordonnances judiciaires.
“Cela nous permet de rester au courant de ces menaces et d’obtenir une commande en quelques minutes”, explique Boscovich. « Nous pouvons accélérer le processus contentieux presque à la vitesse de la cybersécurité. »
Il souligne également le défi de prendre des mesures contre les acteurs de la menace compte tenu de la professionnalisation de l’écosystème cybercriminel ces dernières années. Les groupes criminels fonctionnent désormais comme des syndicats avec différents départements travaillant sur différents aspects de la commission des crimes tout en contractant également avec des tiers pour des services qu’ils ne développent pas en interne.
« Il y a un problème juridique : comment regrouper un groupe de personnes exerçant des activités distinctes dans une seule plainte ou une seule accusation ? Ils ne se connaissent même pas toujours », explique Boscovich. Pour remédier à cette situation, le groupe a travaillé sur des stratégies juridiques dans le cadre de la loi américaine sur les organisations influencées par les racketteurs et corrompues (RICO), conçue pour se concentrer sur les organisations criminelles plutôt que sur les actes criminels individuels.
« Ce sont les gars qui ont développé le malware, l’ont négocié, l’exploitent, nous pouvons donc les regrouper tous dans un seul dossier légal pour les rassembler », dit-il. « Maintenant, cela fait également partie de notre plan de match juridique. »
Alors que le piratage cybercriminel et soutenu par l’État continue de s’intensifier, la DCU a élargi sa collaboration avec les forces de l’ordre et a utilisé ses techniques lors d’un ensemble de crises mondiales en constante évolution. En 2016, par exemple, le groupe a procédé à sa première perturbation d’un acteur étatique, en procédant au retrait de l’APT 28 russe, connu sous le nom de Fancy Bear. Les attaquants utilisaient des domaines de type Microsoft dans leurs célèbres campagnes de phishing et de désinformation liées aux élections américaines de cette année-là. En 2018, le groupe a partagé ses conclusions avec la police de Delhi sur les acteurs derrière 10 centres d’appels criminels en Inde qui escroquaient leurs victimes aux États-Unis, au Canada, aux Pays-Bas et en Australie. Le partage d’informations a abouti à 63 arrestations. En 2020, la DCU a saisi des domaines utilisés dans la cybercriminalité liée à la pandémie et a également procédé à des retraits contre le célèbre groupe de ransomware Trickbot avant les élections américaines de 2020.
« Nous avons tendance à y penser du point de vue de la protection des victimes », explique Amy Hogan-Burney, qui supervise la DCU en tant que directrice générale de Microsoft et avocate générale associée pour la politique et la protection de la cybersécurité. « Je laisse généralement la dissuasion aux gouvernements, mais je me concentre toujours sur la protection des victimes. Cela peut être restreint, c’est-à-dire un client Microsoft ou un type de client Microsoft, ou cela peut être très large : toute personne utilisant Internet susceptible d’être touchée par la cybercriminalité.
Source: https://arstechnica.com/information-technology/2023/12/how-microsofts-cybercrime-unit-has-evolved-to-combat-increased-threats/
Et: https://www.wired.com/story/microsoft-digital-crime-unit-2023/ -
@duJambon a dit dans Comment l'unité de cybercriminalité de Microsoft a évolué pour lutter contre l'augmentation des menaces :
le piratage cybercriminel et soutenu par l’État continue de s’intensifier
on sait tous de qui on parle, mais chutt ^^
