L’un des responsables de plus d’une centaine de cyberattaques contre des organisations publiques et privées arrêté à Séville

Lun des responsables de plus dune centaine de cyberattaques contre

La Garde civile, dans la soi-disant opération Océansxa arrêté deux personnes responsables de l’obtention l’accès non autorisé aux réseaux informatiques et aux identifiants d’accès d’entreprise, tant publics que privés, proposant la vente de ceux-ci, ainsi que de bases de données et d’ensembles de données compromis dans les marchés du cybercriminalité.

L’enquête a commencé après avoir relaté une série de cyber-attaques avec les informations obtenues à partir des analyses effectuées sur certains matériaux intervenus lors d’enquêtes antérieures, localisant un Chaîne de télégramme où l’accès frauduleux à diverses administrations publiques de pertinence.

Spécialisé dans les attaques contre le secteur public en Espagne

Après avoir analysé le contenu de ladite chaîne grâce à des techniques de recherche technologique avancées et des recherches dans des sources ouvertes, les agents ont attribué ces attaques à un « acteur national » dans le domaine de la cybercriminalité, qui agissait sous le pseudonyme Guardiacivilxutilisant également 14 autres identités telles que « 9bands », « banz9 », « TheLich », « Crystal_MSF », « OUJA », « unlawz » ou encore « teamfs0ciety ».

À partir de ce moment, la recherche s’est concentrée sur l’obtention du identité des personnes qui agissaient sous ce pseudonyme, ainsi que le nombre et les points d’attaques perpétrés. Guardiacivilx a été présenté comme un fournisseur d’identifiants d’accès aux services à distance et aux messageries d’entreprise, proposant la vente privée d’identifiants d’accès sur un portail de consultation de véhicules de la Direction Générale de la Circulation (DGT) et ITVASA. Pour ce faire, il a d’abord demandé un paiement de 13 000 $ et a été détenu au moment de procéder à la vente susmentionnée. En outre, il a été possible de vérifier comment il a tenté de vendre une base de données avec des informations provenant de plus de 200 000 personnes.

Parallèlement, différents récits de crypto-monnaies liés à cet « acteur national », corroborant qu’une grande partie d’entre eux étaient dirigés vers ou provenaient de différents échangeurs (bourses de crypto-monnaie), d’où les paiements pour la vente de divers packages se seraient matérialisés avec ces identifiants d’accès obtenus illégalement.

Guardiacivilx fait l’objet d’une enquête pour des attentats en Amérique latine

Grâce à un travail de cybersurveillance du réseau, cet « acteur » a été localisé dans différents forums utilisés par les cybercriminels, où il exerçait son activité, identifiant ainsi de nouveaux comptes et identités qu’il utilise. Après avoir ainsi vérifié et identifié plusieurs indicateurs attribués à l’auteur présumé, la Garde civile a collaboré avec d’autres agences de police comme la FBIce qui met déjà en évidence la portée transnationale des actions menées par Guardiacivilx, dont beaucoup sur des institutions du continent américain, en particulier les pays hispanophones.

Détenu à Séville et dans les Asturies

Cette enquête a abouti à l’arrestation de deux individus l’automne dernier, l’un à Séville et l’autre dans les Asturies, tous deux directement responsables des événements enquêtés. A partir du matériel intervenu dans ces arrestations, tant informatique que documentaire, les chercheurs sont parvenus à preuves nécessaires relier d’autres cyberattaques à des entités publiques et privées, comme c’est le cas de ITVASAles municipalités de León, Salamanque, Vitoria, Bermeo et Basauri entre autres, ainsi que la Université autonome de Madridcommunes de Jaén et Málaga, Service de santé cantabriqueBanco Atlántida, Ministère de la Culture d’Argentine, Ministère de la Santé du Pérou, Pouvoir judiciaire de l’État de Txascala au Mexique, entre autres, soulignant également leur intérêt pour vol d’informations dans les réseaux de pharmacies.

Après les résultats obtenus à partir de l’analyse des appareils, il a été possible de connaître le haut degré de sophistication atteint pour les perpétrer, démontrant que les deux détenus ont mené les actions criminelles de manière coordonnée. Le fait de déployer cette activité en commun signifiait que les cyberattaques étaient de plus en plus graves et complexes, atteignant le point d’être affectées. plus de 100 organisations et entités du secteur public et privé tant au niveau national qu’international.

Il convient de souligner la pertinence de cette enquête, en soulignant l’étroite collaboration entre l’autorité judiciaire, le parquet en matière de criminalité informatique et le Centre National de Cryptologie (CCN-CNI) avec les enquêteurs, ainsi qu’avec d’autres agences internationales, permettant à tout cela d’apporter une réponse adéquate à l’augmentation de la criminalité dans le domaine du cyberespace.

L’opération a été menée par des agents du Département Anti-Cybercriminalité de l’Unité Centrale Opérationnelle de la Garde Civile. Cette opération a été dirigée par le Tribunal de Première Instance et Instruction No. 2 de Grade (Asturies) et réalisée par le Département Anti-Cybercriminalité de l’Unité Centrale Opérationnelle de la Garde Civile.

fr-03