L’opération Oceansx de la Garde civile a révélé un réseau criminel qui a donné lieu à deux arrestations en raison d’une série de cyberattaques contre des entités publiques et privées, dont les municipalités de Salamanque et León, qui ont subi la même chose en 2022, en plus des administrations publiques internationales. . Les agents ont arrêté ces deux criminels présumés pour avoir obtenu un accès non autorisé à des réseaux informatiques et à des identifiants d’accès d’entreprise, pour ensuite procéder à leur vente sur le marché de la cybercriminalité.
L’enquête a débuté après avoir relaté une série de cyberattaques avec les informations obtenues à partir des analyses effectuées sur certains documents intervenus lors d’enquêtes antérieures, trouvant une chaîne Telegram où a été démontré un accès frauduleux à plusieurs administrations publiques concernées.
Lors de l’analyse du contenu de ladite chaîne grâce à des techniques avancées de recherche technologique en sources ouvertes, les agents ont lié ces attaques à un « acteur national » du secteur de la cybercriminalité, qui agissait sous le pseudonyme de « Guardiacivilx », en utilisant également 14 autres identités. tels que ‘banz9’, ‘9bands’, ‘Crystal_MSF’, ‘TheLich’, ‘unlawz’, ‘OUJA’ ou ‘teamfs0ciety’.
À partir de ce moment, les chercheurs se sont concentrés sur l’identification des personnes qui portaient ces pseudonymes, ainsi que sur le nombre et les points des attaques menées. L’acteur national « Guardiacivilx » s’est présenté comme un vendeur d’identifiants d’accès aux emails d’entreprise et aux services à distance, en proposant la vente privée d’identifiants d’accès sur un portail de consultation de véhicules de la DGT et de l’ITVASA.
Pour ce faire, ils ont demandé un premier paiement de 13 000 $, qui a été stoppé au moment de procéder à la vente susmentionnée. De même, ils ont pu vérifier comment il avait tenté de vendre une base de données contenant des informations sur plus de 200 000 personnes.
Parallèlement, ils ont pu analyser différents comptes de cryptomonnaies liés à cet acteur national, vérifiant qu’une grande partie d’entre eux étaient destinés ou provenaient de différents échangeurs (maisons d’échange de cryptomonnaies), d’où les paiements pour la vente de plusieurs packages avec ceux-ci se seraient matérialisés par des informations d’identification obtenues illégalement.
« Guardiacivilx » ; enquête pour atteinte aux intérêts en Amérique latine
Grâce à un travail de cybersurveillance sur le réseau, cet « acteur » a été localisé dans différents forums utilisés par les cybercriminels, où il exerçait son activité, identifiant ainsi de nouveaux comptes et identités utilisés par lui.
Après avoir ainsi vérifié et identifié plusieurs indicateurs attribués à l’auteur présumé, la Garde civile a collaboré avec d’autres agences de police comme le FBI, mettant déjà en évidence la portée transnationale des actions menées par « GUARDIACIVILX », dont beaucoup contre des institutions du territoire américain. continent, notamment en provenance des pays hispanophones.
Détenu à Séville et dans les Asturies
Cette enquête a abouti à l’arrestation de deux individus l’automne dernier, l’un à Séville et l’autre dans les Asturies, tous deux directement responsables des événements enquêtés.
À partir du matériel intervenu dans ces arrestations, tant informatique que documentaire, les chercheurs ont obtenu les preuves nécessaires pour lier d’autres cyberattaques à des entités publiques et privées, comme ITVASA, les Mairies de León, Salamanque, Vitoria, Bermeo et Basauri entre autres. , ainsi que l’Université Autonome de Madrid, les Conseils Provinciaux de Jaén et de Málaga, le Service de Santé Cantabrique, la Banco Atlántida, le Ministère de la Culture d’Argentine, le Ministère de la Santé du Pérou, le Pouvoir Judiciaire de l’État de Txascala au Mexique, entre autres, soulignant également son intérêt pour le vol d’informations dans les réseaux de pharmacies.
Après les résultats obtenus à partir de l’analyse des appareils, il a été possible de connaître le haut degré de sophistication atteint pour les perpétrer, démontrant que les deux détenus ont mené les actions criminelles de manière coordonnée. Le fait de déployer cette activité conjointement signifie que les cyberattaques étaient de plus en plus graves et complexes, touchant plus de 100 organisations et entités du secteur public et privé, tant au niveau national qu’international.
Il faut souligner la pertinence de cette enquête, en soulignant l’étroite collaboration entre l’Autorité judiciaire, le Parquet en matière de criminalité informatique et le Centre national de cryptologie (CCN-CNI) avec les enquêteurs, ainsi qu’avec d’autres agences internationales, permettant à tout cela de apporter une réponse adéquate à l’augmentation de la criminalité dans le domaine du cyberespace.
L’opération a été menée par des agents du Département Anti-Cybercriminalité de l’Unité Centrale Opérationnelle de la Garde Civile.
Cette opération a été dirigée par le Tribunal de Première Instance et Instruction No. 2 de Grade (Asturies) et réalisée par le Département Anti-Cybercriminalité de l’Unité Centrale Opérationnelle de la Garde Civile.