Pourquoi les hackers russes volent des accès VPN d'universités américaines

Le FBI alerte sur la fuite d'identifiants VPN provenant d'universités et facultés américaines, mis en vente sur des forums de hackers russes.

Le Federal Bureau of Investigation (FBI) a publié une note, il y a quelques jours, informant le public de la mise en vente de milliers d'informations d'identification appartenant à des universités américaines. Les données, tirées de VPN utilisés dans les établissements, ont été découvertes sur des forums criminels hébergés en Russie et ailleurs. Ayant une petite idée des motivations des pirates, le FBI invite les utilisateurs exposés à faire preuve de prudence.

Des données en vente sur le dark web qui pourront être réutilisées à de multiples fins cybercriminelles

Des hackers ont donc pu s'emparer de noms d'utilisateurs et de mots de passe permettant de se connecter au réseau privé virtuel (VPN) dont les universités américaines sont équipées. Le premier risque dont fait part le FBI est celui du ransomware, conduisant ainsi à un vol encore plus important de données et pouvant paralyser des systèmes entiers.

Il faut dire que cette fuite de données touche un certain nombre de comptes à privilèges, qui sont d'autant plus sensibles qu'ils peuvent offrir aux hackers un accès à l'ensemble du système d'information des établissements piégés. Des utilisateurs individuels ou des organisations affiliées aux universités peuvent aussi bien être ciblés.

Le FBI veut en tout cas attirer l'attention sur la réutilisation des données collectées par les pirates et aujourd'hui mises en vente sur les forums cybercriminels. Car elles peuvent aussi bien aboutir à une banale attaque de phishing qu'à une tentative d'intrusion de ransomware, comme nous le disions, ou à du cryptojacking.

Souvent, les pirates qui dérobent les données ne sont motivés que par le gain financier qui en résulte. Ces dernières peuvent se vendre pour quelques dollars comme pour des milliers de dollars. On sait en revanche que les paquets nom d'utilisateur + mot de passe des comptes à privilèges peuvent se vendre, eux, à prix d'or, compte tenu de la sensibilité des informations auxquelles ils offrent l'accès.

Les universités, parmi les cibles privilégiées des pirates informatiques

Le FBI explique que dans le cas où les attaquants réussissent à compromettre un compte victime de la fuite, « ils peuvent tenter de vider le compte de la valeur stockée, d'exploiter ou de revendre des numéros de carte de crédit et d'autres informations personnellement identifiables, mais aussi de soumettre des transactions frauduleuses, d'exploiter les données pour d'autres activités criminelles contre le propriétaire du compte ou d'utiliser ces informations pour mener des attaques ultérieures contre des organisations affiliées ».

C'est ainsi qu'en mai 2021, l'agence américaine était tombée sur 36 000 combinaisons d'adresses e-mail et de mots de passe de comptes de messagerie se terminant en .edu, un domaine réservé aux établissements d'enseignement des États-Unis. Le fichier était accessible au public depuis une messagerie instantanée tenue par des habitués du trafic d'identifiants de connexion volés.

En 2020, ce sont quelque 2000 noms d'utilisateurs accompagnés de mots de passe de comptes en .edu qui furent découverts sur le dark web. À l'époque, les pirates demandaient à être payés en Bitcoin. En 2017, des cybercriminels avaient ciblé des universités en piratant des comptes toujours en .edu mais cette fois en clonant des pages de connexion aux sites des universités, en intégrant un lien de collecte d'informations dans des e-mails de phishing.

Les professionnels de la cybersécurité et le FBI recommandent aux différents services informatiques des universités exposées de procéder aux dernières mises à jour des systèmes et logiciels, de renforcer la sécurité des comptes et de surveiller l'accès à distance, en restant par ailleurs en relation avec les autorités cyber.

Source : FBI