Recevez des mises à jour gratuites de cybersécurité
Nous vous enverrons un Résumé quotidien de myFT e-mail récapitulant les dernières La cyber-sécurité des nouvelles tous les matins.
Alors que MGM Resorts International et le FBI enquêtent sur un piratage paralysant de l’un des plus grands opérateurs de casino au monde, un indice alléchant est apparu sur un forum clandestin concernant l’achat et la vente d’identifiants volés.
Le 1er septembre, les opérateurs d’une chaîne Telegram appelée Spider Logs, gérée par des cybercriminels qui récoltent et revendent des identifiants, des mots de passe et d’autres informations provenant d’ordinateurs compromis, ont vendu un ensemble de données contenant les informations d’identification d’un ingénieur informatique de niveau intermédiaire chez MGM, selon à Dynarisk, basée à Londres, une société de cybersécurité.
95 autres employés de MGM ont vu leurs identifiants de connexion volés et revendus dans le même ensemble de données, tout comme certains chez Caesars Entertainment, un rival de MGM qui a révélé jeudi dans un dossier déposé auprès de la Securities and Exchange Commission qu’il avait également été piraté au cours des dernières semaines.
Les informations d’identification d’un employé travaillant dans la division informatique de MGM ou de Caesars seraient plus susceptibles de permettre l’accès au fonctionnement interne des réseaux de l’exploitant du casino que celles, par exemple, d’un employé à la réception d’un hôtel.
La possibilité que les pirates aient eu accès aux systèmes de MGM via des informations d’identification volées n’a pas pu être confirmée. Mais la présence d’autant d’informations sur les employés sur les forums clandestins souligne le risque auquel les grandes entreprises comme MGM sont confrontées en raison des méthodes variées et en constante évolution utilisées par les pirates pour accéder aux réseaux.
« Pour des entreprises aussi grandes et rentables que MGM et Caesars, elles auraient disposé des ressources nécessaires pour protéger leurs données et leurs clients », a déclaré Andrew Martin, directeur général de Dynarisk. « Ils auraient pu prendre des mesures relativement simples pour empêcher cette violation, y compris s’ils avaient surveillé le vol de ces informations d’identification et s’ils avaient agi [promptly]tout cela aurait pu être évité.
Les identifiants et mots de passe de l’ensemble de données ont probablement été volés sur un ordinateur infecté par un malware appelé Ligne rouge, selon Dynarisk, qui se cache derrière des copies piratées de jeux vidéo ou autres logiciels. Le mot de passe de l’employé informatique de MGM pour la connexion à son entreprise était « K@sper99 ! » et celui d’un employé informatique de Caesars était « W@lmart1 ».
Redline vole et regroupe également des cookies récemment volés, ces minuscules informations que les navigateurs utilisent pour identifier les visiteurs fréquents des sites Web afin que les utilisateurs n’aient pas à saisir leurs informations de connexion à plusieurs reprises.
Une personne prétendant représenter un groupe de piratage informatique surnommé Scattered Spider a déclaré jeudi au Financial Times qu’il avait perpétré l’intrusion chez MGM, notamment en tentant de falsifier les machines à sous du casino.
Le groupe serait à l’origine d’au moins 100 attaques contre de grandes entreprises américaines et est considéré comme une menace majeure pour les entreprises occidentales.
Ses membres, pour la plupart des hackers anglophones des États-Unis et d’Europe, sont connus pour se faire passer pour un employé qu’ils ont étudié sur les réseaux sociaux lors d’appels téléphoniques aux services d’assistance des entreprises où ils tentent de générer de nouveaux mots de passe.
Dans ce cas, la personne prétendant représenter Scattered Spider a déclaré que l’entreprise avait également compromis le numéro de téléphone d’un employé, lui permettant ainsi de rediriger un message texte contenant un mot de passe à usage unique vers les pirates informatiques, et non vers l’employé.
Les mots de passe et identifiants volés concernaient un système appelé Okta, créé par la société de gestion d’identité éponyme basée à San Francisco, dont le logiciel est utilisé par des milliers d’entreprises pour vérifier l’identité de leurs employés avant d’accorder l’accès aux sites Web internes de l’entreprise.
Un site Web sombre lié à un groupe avec lequel Scattered Spider a parfois travaillé a déclaré vendredi que « MGM a pris la décision hâtive de fermer chacun de ses serveurs Okta après avoir appris que nous nous cachions sur leurs serveurs Okta ».
Okta, dont la capitalisation boursière s’élève à 13,6 milliards de dollars, n’a pas immédiatement répondu à une demande de commentaire.
Martin de Dynarisk a déclaré que davantage d’entreprises étaient à risque : d’autres ensembles de données qu’il avait vu récemment négociés comprenaient les informations d’identification des employés de plus de 500 autres entreprises, notamment celles de Wells Fargo, WPP, Experian, Diageo, Wayfair, Epic Games et Adobe.
« D’autres de ces piratages sont à venir », a-t-il déclaré.