Sous couvert d’associations caritatives, un groupe de cybercriminels basé au Maroc est impliqué dans l’escroquerie des sociétés de cloud, auprès desquelles il obtient un accès gratuit au stockage informatique. Ce procédé a permis de voler des cartes cadeaux dans des supermarchés américains, selon les révélations de chercheurs de Microsoft et du Federal Bureau of Investigation (FBI).
Nommé Storm-0539 ou Atlas Lion, le groupe marocain est actif depuis 2021. Les chercheurs estiment que ces cybercriminels sont spécialisés dans le vol de cartes cadeaux bancaires par la fraude. Derrière de faux sites caritatifs, ils parviennent à tromper les sociétés cloud pour obtenir un accès gratuit aux ordinateurs en ligne. Après quoi, ils passent par les employés des magasins connectés pour accéder à leurs systèmes de cartes cadeaux, qu’ils volent sans dépasser la limite, pour ne pas être détectés.
Des cybercriminels repérés par la division cyber du FBI
Le FBI a également mis en garde contre les activités frauduleuses du groupe basé au Maroc. Dans une note du 6 mai, la Cyber Division du FBI a rapporté avoir repéré, en janvier 2024, « un groupe cybercriminel appelé STORM-0539, également connu sous le nom d’Atlas Lion, ciblant les commerces de détail nationaux et notamment les cartes cadeaux.
« STORM-0539 a utilisé des campagnes de smishing pour cibler les employés et obtenir un accès non autorisé aux comptes des employés et aux systèmes de l’entreprise. Il a ensuite utilisé des campagnes de phishing pour cibler d’autres employés et élever les privilèges du réseau », a indiqué le FBI.
Dans ses actions de smishing, le groupe cible les téléphones portables personnels et professionnels des salariés des rayons de vente au détail. Le FBI a détaillé les techniques utilisées, notamment un « kit de phishing sophistiqué capable de contourner l’authentification multifacteur ».
Une fois l’intrusion réalisée sur le compte d’un collaborateur, le groupe « effectue des reconnaissances sur le réseau de l’entreprise pour identifier le processus commercial des cartes cadeaux, puis il s’intéresse aux comptes des salariés couvrant ce wallet spécifique ».
Au sein du réseau, les cybercriminels tentent d’accéder aux mots de passe et aux clés SSH (Secure Shell), en plus de cibler les informations d’identification des employés du service des cartes cadeaux. Après l’accès, « des cartes-cadeaux frauduleuses sont créées, via des comptes d’employés compromis ».
Les manœuvres du groupe incluent également « l’exfiltration des données des employés, notamment les noms, noms d’utilisateur et numéros de téléphone, qui peuvent être exploitées pour des attaques supplémentaires ou vendues à des fins lucratives ».
Connectez-vous au lieu de forcer l’accès
Selon Emiel Haeghebaert, analyste senior au Microsoft Threat Intelligence Center, le groupe ne compterait pas plus d’une douzaine de personnes au Maroc. « En gros, ils se connectent au lieu de forcer l’accès », a-t-il expliqué.
Microsoft a pu identifier le groupe « créant des domaines se faisant passer pour des organisations légitimes à but non lucratif, telles que des refuges pour animaux et des œuvres caritatives aux États-Unis et en Europe, et obtenant des copies de correspondance avec l’Internal Revenue Service les désignant comme des organisations légitimes à but non lucratif.
“La reconnaissance du groupe et sa capacité à exploiter les environnements cloud sont similaires à ce que Microsoft observe parmi les acteurs de menace parrainés par les États-nations”, ont déclaré Haeghebaert et les autres chercheurs dans un rapport Cyber Signals de mai 2024. .
Pour l’instant, les recherches ne permettent pas d’estimer les sommes dérobées grâce à ces opérations de cybercriminalité.
