Il est très difficile de traquer les pirates. Cependant, une erreur peut conduire à se faire prendre.
Un hacker finlandais de 25 ans a été arrêté par contumace pour une violation de données visant Vastaamo. Un mandat d’arrêt européen a été émis contre lui. C’est selon les informations d’Iltalehti Alexandre Julius Kivimäkiqui a une formation en cyberattaques.
La police a révélé des informations un peu plus détaillées sur la façon dont le pirate a été traqué. L’expert en sécurité de l’information de Check Point Jarno Ahlström les attaquants peuvent laisser des traces qui peuvent être suivies pour les attraper.
– Les traces qui restent généralement sont diverses entrées de journal et fichiers qui ont été transférés vers le serveur cible. La première chose qu’un attaquant vise à faire est de les supprimer. Il veut cacher ses traces de ce qui a été fait avec l’appareil, dit Ahlström.
Selon Ahlstöm, cependant, un pirate informatique expérimenté sait généralement comment brouiller les pistes, de sorte qu’il est très difficile de le retrouver.
– Il est généralement assez facile de dissimuler ses propres actions. Cependant, selon la méthode d’attaque, les choses peuvent devenir plus difficiles. Si l’attaquant installe, par exemple, des logiciels malveillants, ils ne peuvent pas être supprimés par eux-mêmes lorsqu’ils sont supprimés. Ils peuvent contenir des indices sur l’origine de l’attaquant ou si les mêmes programmes ont été utilisés ailleurs. De cette façon, le champ sur lequel l’attaque est ciblée est élargi.
– Les soi-disant hackers amateurs utilisent souvent des mécanismes d’attaque prêts à l’emploi et des méthodes créées par d’autres, qui peuvent laisser des traces non nettoyées. C’est ainsi qu’ils se font généralement prendre.
Ahlström dit que l’attaquant veut principalement couvrir son emplacement.
– C’est l’une des premières choses qu’un attaquant qualifié et expérimenté fait lors de la préparation d’une attaque. Il ne prend aucune connexion de sa propre machine, mais essaie d’acheminer le chemin d’attaque aussi loin que possible pour être détecté, par exemple via la machine détournée de quelqu’un d’autre ou les réseaux Tor. C’est ainsi que nous essayons de cacher le point de départ, c’est-à-dire d’où vient l’action.
Comment le pirate de Vastaamo s’est-il fait prendre ?
Kivimäki, qui a mené la contre-attaque, a déjà des antécédents criminels liés à des cyberattaques. Selon Ahlström, cela a probablement contribué au fait qu’il a été attrapé.
– La personne a déjà été attrapée auparavant, il est donc très probable que le chemin laissé par l’agresseur ait été tracé et découvert par lequel il a mené l’attaque. Il se peut qu’il ait utilisé des soi-disant machines à sauter sur le chemin, qui ont été détournées ou sont passées par le réseau Tor. Une très forte probabilité de se faire prendre est due à quelque chose comme ça, pense Ahlström.
Selon Ahlström, dans l’affaire Vastaamo et d’autres attaques similaires à grande échelle, le processus de suivi est lourd.
– En règle générale, il est difficile d’intervenir dans les actions d’un attaquant habile afin de l’attraper. Dans de tels cas, on parle souvent d’attaques continues et de longue durée, où l’attaquant a accès au système pendant des années, lorsque les choses peuvent se faire lentement et sans être remarquées. L’objectif de base de l’attaquant est qu’il n’y a rien à suivre.
Selon Ahlström, le fait que l’affaire Vastaamo ait fait de nombreuses victimes et suscité beaucoup d’attention a probablement eu un impact important sur l’enquête. Le fait qu’il y ait beaucoup de victimes n’affecte pas directement la facilité avec laquelle il est possible de retrouver le criminel, mais cela peut rendre l’enquête plus efficace.
– L’importance de l’affaire a beaucoup à voir avec l’enquête. S’il y a beaucoup de victimes, ça commence à intéresser le grand public et la police. Le risque de se faire prendre augmente alors dans une certaine mesure, précise Ahlström.
Dans l’affaire Vastaamo, Alhström met également en lumière les hackers chapeau blanc qui utilisent leurs compétences pour le bien.
– Le groupe de pirates informatiques bienveillants ne cesse de croître et il s’y passe beaucoup de choses. Même dans l’affaire Vastaamo, différentes communautés de pirates informatiques ont commencé à découvrir s’il y avait quelque chose à attraper dans l’affaire. Ces histoires sont rarement rendues publiques car il s’agit de travaux de recherche en arrière-plan. Cependant, cela peut être précieux pour la police et, au mieux, aider à attraper le criminel.
Le mobile de l’agresseur n’est pas clair
Selon Ahlström, les attaquants ont des motifs différents.
– Cela peut être purement de l’intimidation pour une raison ou une autre. Les pirates peuvent également rechercher la renommée et la gloire parmi d’autres pirates du côté obscur d’Internet. L’argent pur est également dans l’esprit de nombreux attaquants, déclare Ahlström et poursuit :
– Différents types d’affaires d’extorsion sont en très forte augmentation. Obtenir des informations et les diffuser sont également un objectif commun pour tenter de gagner de l’argent. Je dirais que le principal motif d’un pirate informatique déterminé en ce moment est l’argent.
Il n’y a aucune information sur les motivations de Kivimäki. Il a peut-être recherché l’attention mais aussi un gain financier.
– Dans l’affaire Vastaamo, il est difficile de se prononcer sur les mobiles initiaux de l’attentat, mais peut-être, selon l’adage, la situation aurait pu faire un voleur. Après l’attaque, les informations ont été partagées sur le réseau Tor, après quoi les victimes ont commencé à subir un chantage financier, explique Ahlström.