CPA Canada piraté, The 8 Brains retrouve des données chez des pirates Russes

Une faille a permis l’accès à la BDD

Plusieurs centaines de milliers de Canadiens, dont 47 000 Québécois, concernés par le piratage de CPA Canada. The 8 Brains a retrouvé les pirates, la faille et les données.

Une veille aurait pu éviter le pire ! La Presse Canadienne s’est fait l’écho, ce 4 juin 2020, d’une alerte lancée par la société CPA Canada, les Comptables Professionnels Agréés. Une entreprise sensible, gérant une population professionnelle brassant d’énorme quantité d’argent et de données personnelles.

CPA a indiqué dans la presse nationale une fuite de données via une « atteinte potentielle » à la sécurité de ses données. Un problème détecté vers le 20 avril 2020. Une cyberattaque qui aurait entraîné la fuite des renseignements d’au moins 329 000 personnes, dont 47 000 Québécois et 217 000 comptables.

L’entreprise explique que l’enquête interne n’a pas encore permis d’identifier les responsables et les motifs de l’attaque. Cependant, on apprend que les pirates ont pu accéder aux systèmes entre le 30 novembre 2019 et le 1er mai 2020.

La faille offerte par un pirate

The 8 Brains a retrouvé les données dans un site web Russe. Mais commençons par l’historique de cette faille.

Le 15 janvier 2020, un pirate Russe (nous le baptiserons Vestee) propose dans un espace dédié aux échanges de failles informatiques, d’accéder à une injection SQL (SQLi) concernant le site cpacanada.ca. Une injection SQL permet, en modifiant l’url officiel d’un site web et en lui injectant des commandes, d’accéder à la base de données internes, soit via un logiciel dédié ; soit directement à partir d’un navigateur web.

Vestee reçoit quelques mercis d’une dizaine de pirates. Il diffusera d’autres exploits pour pénétrer une quinzaine de sites web. Dans ce premier message, il explique avoir collecté ses cibles via un dork Google. Un Dork est une série de commandes envoyées à Google pour des recherches très ciblées.

Pourquoi diffuser ce type d’information ? Pour gagner en réputation sur le forum ; engranger des contacts ; vendre des accès 0day à d’autres sites ; accéder à des échanges ; impossibilité d’exploiter à 100% la faille.

Mi-mars 2020, un second pirate informatique (Nous l’avons baptisé M. Mytho), dans un autre espace Russe, partage une seconde SQLi concernant cpacanada.ca. Il est beaucoup plus prolixe sur les informations malveillantes qu’il offre aux membres du forum. On comprend qu’il a exploité la faille, et qu’il a décidé de s’en débarrasser.

Cet espace de discussion Russe parle d’économies souterraines, de failles trouvées sur des sites dédiés aux cryptomonnaies, à la finances, aux placements. Des sites d’entreprises basées en Inde, en Chine, aux USA, au Canada sont ainsi étalés.

Nous sommes le 23 mars 2020. Soit trois mois après la première diffusion malveillante. The 8 Brains pense que Vestee et M. Mytho sont le même malfaisant. M. Mytho s’est inscrit sur ce second site le 16 janvier 2020. Dans ce forum, il diffuse comment exploiter la faille et permet d’accéder aux neuf bases de données.

Ici aussi, la diffusion de failles permet de gagner en réputation sur le forum ; engranger des contacts ; vendre des accès 0day ; récupérer d’autres failles …

Qui est le pirate et pourquoi cette diffusion ?

Jusqu’ici, nous savons qu’au moins un pirate a diffusé deux SQLi donnant accès à la base de données de CPA Canada. Exploits numériques malfaisants proposés sur deux forums Russes où se côtoient des pirates « professionnels » à la recherche de toutes opportunités malveillantes pouvant se commercialiser.

Dans le journal de Montréal, CPA indique que les cartes de crédit et les mots de passe des membres n’ont pas été impactés. Des données que les pirates apprécient, mais pas seulement.

Le 16 avril 2020, soit quatre mois après la première diffusion de « Vestee » ; un mois après la mise en ligne sur le second forum Russe par « M. Mytho« , un troisième pirate apparaît. Il affiche avoir ponctionné des dizaines de milliers de données appartenant au site de CPA Canada.

Un pirate que nous baptiserons « MisterC« . Il est très connu dans le milieu black hat Russophone. Il explique, dans le message qu’il partage avec d’autres membres du forum, avoir pu extraire les informations grâce à « M. Vestee« .

Sur un forum Russe, MisterC va diffuser plus de 100 000 comptes volés à CPA.

« Je ne me suis intéressé qu’aux utilisateurs, affiche MisterC. J’ai trouvé beaucoup de tables [comprenez des morceaux organisés de la base de données : adresses, messages, utilisateurs, …], mais la connexion avec la base de données est très merdique« . Ce pirate a eu du mal à se connecter à la base de données (trop grosse, connexion lente, …) pour ponctionner l’intégralité des informations. « MisterC » s’est contenté des utilisateurs.

Pour parfaire son discours, il va diffuser un extrait de la base de données sur un site de téléchargement de fichier licite, hébergé aux USA. The 8 Brains a pu constater 134 080 adresses électroniques et 134 080 mots de passe. Ces derniers sont hashés. Ils ne peuvent pas être utilisés en l’état.

Un hashage des mots de passe qui semblait encore résister aux pirates, fin avril 2020.

Voilà aussi très certainement pourquoi « Vestee » et « M. Mytho » ont offert les deux failles. Le hashage des mots de passe ne permettait pas d’exploiter les identifiants de connexion sur le site de CPA Canada.

La base de données diffusées par le pirate comporte plus de 130 000 adresses électroniques et mots de passe.

Quels risques ?

Depuis novembre 2019, plusieurs pirates ont pu exploiter la faille principale et les accès malveillants provoqués par cette dernière. Des accès diffusés d’abord sous le manteau, entre initiés (0Day), puis entre membres de forums une fois le 0day exploité.

Des pirates qui ont pu, à la différence de « MisterC« , extraire bien plus que des adresses électroniques. Une injection SQL permet de récupérer l’intégralité des informations sauvegardées dans une base de données, dont les adresses électroniques.

Des courriels qui, à eux seuls, peuvent permettre de lancer des hameçonnages [phishing] très ciblés, mais aussi et surtout, écrire aux personnes présentes dans ce fichier. Des adresses qui permettent de mettre un nom sur un courriel et une entreprise.

Des courriels qui permettent de trier les professionnels. D’analyser leurs adresses « publiques » telles que Gmail, Hotmail.

Bref, de « simples » adresses électroniques qui ont peut-être pu permettre à des pirates d’usurper CPA Canada. Mission des malveillants, inciter les comptables à télécharger un document piégé. Une facture par exemple.

Un appât dissimulant un logiciel de cyber espionnage (cheval de Troie) ou encore un rançongiciel.

Il est important de prendre un service de surveillance pour identifier le plus tôt possible des signaux faibles devenant forts. Si CPA Canada avait utilisé ce type de service, ils auraient détecté la diffusion de la faille. Ils auraient pu corriger et éviter la diffusion des données personnelles.

Une stratégie de cyber défense, que The 8 Brains peut vous proposer (red team, cyber intelligence, …), aurait alors pu être mise en place rapidement et en lien direct avec les signaux détectés et surveillés. Le pire aurait pu être évité et des centaines de milliers de canadien certifiés, moins exposés.

A propos de The 8 Brains :

The 8 Brains est une société québécoise basée à Montréal, dirigée par Arnaud Flotté-Dubarry. Elle compte plus d’une vingtaine d’experts de haut niveau en cyber sécurité, expérimentés, hautement qualifiés et passionnés : pentesters, architectes techno et sécurité, développeurs (IA, SecDevOps…), ainsi qu’un pôle de cyber intelligence. Nos experts cumulent plus de 300 ans d’expérience et plus d’une centaine de certifications.

La mission de The 8 Brains : Informer, Innover et Sécuriser tout en changeant le paradigme de la sécurité au bénéfice de nos clients, en mettant à leur disposition des équipes multidisciplinaires et transverses.
Les solutions développées et mises en place par The 8 Brains sont innovantes et encore jamais vues ailleurs. Nous pouvons agir autant à distance que dans vos locaux.

The 8 Brains propose également des formations liées à la cyber sécurité pour l’ensemble de vos équipes non techniques.