Le site de serveurs piratés xDedic mis à terre

La coopération entre plusieurs institutions policières et judiciaires américaines et européennes a débouché sur la fermeture de la place de marché xDedic. On pouvait acheter sur cette dernière des accès à des serveurs piratés par des attaques RDP.

Le FBI et les agences de plusieurs pays européens ont fermé le marché souterrain spécialisé dans la vente d'accès à des ordinateurs et serveurs piratés. Baptisé xDedic, le site existait depuis des années, d'abord sur Internet, puis sur le réseau Tor. Selon un rapport publié en 2016 par Kaspersky Lab, cette place de marché en ligne était gérée par un groupe de pirates russophones. Le démantèlement a eu lieu jeudi, mais n'a été annoncé que le 28 janvier par Europol et Eurojust, qui ont coordonné l'enquête entre les autorités belges, américaines et ukrainiennes. Les forces de l'ordre allemandes ont contribué à la confiscation de l'infrastructure IT du site, et les noms de domaine ont été saisis en vertu d'une ordonnance rendue par un juge américain.

La police a également inspecté neuf sites basés en Ukraine et interrogé trois suspects résidents dans le pays soupçonnés d’avoir exploité le site ou vendu l'accès à des serveurs piratés par son intermédiaire. L'accès RDP (Remote Desktop Protocol) aux serveurs était revendu entre 6 et 10 000 dollars, et les clients pouvaient affiner leur choix de serveurs en fonction de la localisation géographique, du système d'exploitation et autres critères.

Des dizaines de milliers de serveurs piratés répertoriés

Au fil des années, des dizaines de milliers de serveurs ont été répertoriés sur le marché, dont des serveurs d'entreprises de divers secteurs d’activités, des serveurs d'établissements d'enseignement, d'institutions gouvernementales, d'hôpitaux, de services d'urgence et de grandes entreprises de transport en commun métropolitaines. Les enquêteurs estiment que le site a facilité une fraude de plus de 68 millions de dollars. En plus de l'accès à distance aux serveurs, les vendeurs xDedic ont également fourni aux acheteurs des correctifs RDP pour permettre des connexions simultanées sur les machines piratées ainsi que des proxies à installer sur les serveurs et d'autres outils pour collecter des informations. En 2016, le nombre de serveurs piratés répertoriés s’élevait à 75 000, mais il a augmenté par la suite.

L’enquête des autorités belges sur xDedic a été lancée en 2016 quand elles ont découvert que le site avait été utilisé pour vendre l'accès à des machines de nombreuses entreprises belges. L’enquête a débouché sur un accord de coopération entre la Belgique, l'Ukraine, Eurojust et Europol en 2018. Entre temps, les autorités américaines ont mené leur propre enquête sur le site et ses administrateurs, et l’an dernier, elles ont apporté leur collaboration aux enquêteurs européens avec lesquels il y a eu plusieurs réunions. « Grâce à leurs efforts coordonnés, les autorités judiciaires, pénales et policières belges, ukrainiennes et américaines ont porté un coup radical au marché en ligne du commerce illégal de systèmes informatiques piratés », a déclaré Eurojust dans le communiqué annonçant le démantèlement de xDedic. « C’est également un message important envoyé aux auteurs d'autres activités criminelles en ligne, y compris sur le dark web, pour leur dire qu'ils ne sont pas à l'abri d’enquêtes et de poursuites pénales ».

Les attaques RDP, efficaces mais évitables

Les pirates ont pu accéder aux serveurs grâce à des attaques RDP par force brute exploitant des listes d'identifiants piratés ou mal sécurisés. Les attaques RDP ont de plus en plus la côte parmi les pirates informatiques, mais elles peuvent être évitées par des mesures de protection adéquates. Par exemple, les entreprises devraient adopter de meilleures politiques en matière de mots de passe pour l'accès à distance et imposer des limites aux tentatives de connexion.

En septembre, l'Internet Crime Complain Center (IC3) du FBI a publié une alerte publique sur « l'essor des marchés obscurs qui vendent des accès RDP ». Selon le FBI, les causes les plus courantes d’intrusion sont : faiblesse des mots de passe, versions périmées du RDP avec cryptage CredSSP défectueux, accès illimité au port RDP par défaut (TCP 3389) et tentatives de connexion illimitées aux comptes utilisateurs. L'alerte contenait également des recommandations utiles pour remédier à ces faiblesses. Dans le passé, les attaquants ont exploité l'accès RDP pour déployer des ransomwares comme SamSam, CrySiS et CryptON, et pour voler des informations sensibles. Certaines attaques menées avec ces malwares ont causé d'importantes perturbations dans les hôpitaux et autres institutions publiques.