Resecurity a déclaré que le prétendu piratage de Scattered Lapsus$ Hunters était confiné à un environnement leurre conçu pour suivre le comportement des attaquants.
La société de cybersécurité Resecurity affirme avoir délibérément attiré dans un pot de miel des acteurs malveillants liés à l’alliance Scattered Lapsus$ Hunters (SLH), après que le groupe a affirmé avoir piraté l’entreprise et volé des données internes et client.
« Comprenant que l’acteur effectue une reconnaissance, notre équipe a créé un compte Honey Pot », a déclaré Resecurity dans un article de blog, indiquant une connaissance préalable des enquêtes sur les acteurs menaçants. « Cela a permis à l’acteur malveillant de se connecter avec succès à l’une des applications émulées contenant des données synthétiques. »
Les auteurs de la menace prétendant être les « ShinyHunters » de SLH ont initialement publié des captures d’écran et affirmé avoir violé les systèmes de Resecurity, mais peu de temps après que l’entreprise ait déclaré qu’il s’agissait d’un pot de miel, le groupe lui-même a confirmé qu’il n’avait aucun lien avec l’attaque.
« Nous aimerions annoncer que nous avons obtenu un accès complet aux systèmes Resecurity », auraient déclaré les auteurs de la menace dans un article sur Telegram. « Depuis des mois, REsecurity essaie de nous manipuler socialement, nous et les groupes que nous connaissons. Lorsque ShinyHunters a mis en vente la base de données du système financier vietnamien, leur personnel a fait semblant d’être des acheteurs pour obtenir des échantillons gratuits et plus d’informations de notre part. »
Pour preuve, les auteurs de la menace avaient joint des captures d’écran de la communication interne des employés de Resecurity dans une instance de collaboration Mattermost.
Ce que dit Resecurity s’est réellement produit
Selon Resecurity, ses équipes de sécurité ont observé des activités de reconnaissance ciblant les services exposés en externe avant que les attaquants ne rendent publiques leurs affirmations. En réponse, la société a déclaré qu’elle orientait l’activité vers un environnement de pot de miel rempli de données synthétiques conçues pour ressembler aux systèmes internes.
Le pot de miel comprenait des dossiers de consommateurs fabriqués et des données de paiement simulées structurées pour paraître réalistes tout en restant entièrement isolées de l’environnement de production de Resecurity. La société a déclaré que cela permettait aux attaquants de croire qu’ils avaient obtenu un accès significatif, tout en permettant aux défenseurs de surveiller l’activité sans exposer de données réelles.
« Pour les données synthétiques, nous avons utilisé deux ensembles de données différents : plus de 28 000 enregistrements usurpant l’identité des consommateurs et plus de 190 000 enregistrements de transactions de paiement, et généré des messages », a déclaré Resecurity dans le message. « Notamment, dans les deux cas, nous avons utilisé des données divulguées déjà connues, disponibles sur le Dark Web et sur des marchés clandestins, contenant potentiellement des informations personnelles, ce qui rend les données encore plus réalistes pour les acteurs malveillants. »
Resecurity a ajouté que les attaquants ont interagi avec l’environnement leurre sur une période prolongée, générant des requêtes automatisées qui ont fourni un aperçu de leurs outils et méthodes.
Les preuves d’une violation réelle restent minces
Malgré le récit détaillé de Resecurity, les auteurs de la menace n’ont pas étayé leurs affirmations initiales par des preuves supplémentaires vérifiables. Après la publication des captures d’écran, aucune fuite fondée des systèmes internes ou des données réelles des clients n’est apparue. Une analyse indépendante réalisée par divers chercheurs en cybersécurité soutient l’affirmation de Resecurity selon laquelle aucun actif de production n’a été compromis.
D’un autre côté, la propre analyse de Resecurity des modèles d’interaction s’aligne sur les tactiques courantes des acteurs de la menace. Selon l’enquête de l’entreprise, l’activité a commencé par la reconnaissance de systèmes exposés au public, qui correspondaient aux techniques MITRE ATT&CK telles que l’analyse active (T1595) et la collecte d’informations sur l’hôte de la victime (T1592), basées sur la télémétrie du réseau et les données de journal. Suite à la publication des allégations, un porte-parole prétendant représenter ShinyHunters a nié l’implication du groupe, affirmant qu’il n’était pas responsable de l’activité attribuée par Resecurity aux attaquants présumés.
