Avant 2020, « ShinyHunters » était un simple jargon qu’utilisent les fans de la franchise Pokémon. Il fait référence à des chasseurs de monstres dans cet univers. Les joueurs collectionnent des « shiny ». À partir de 2020, il est tristement célèbre pour les vols de données massifs. Les cybercriminels s’approprient le surnom pour voler et vendre des informations personnelles sur le dark web.
Les violations de données sont devenues une menace courante pour les organisations. Si certaines attaques sont menées par des groupes sophistiqués affiliés à des États, d’autres sont l’œuvre de cybercriminels qui poursuivent un but purement lucratif. ShinyHunters fait partie de cette seconde catégorie. Pendant les deux premières semaines du mois de mai 2020, le groupe prétend avoir volé plus de 200 millions de dossiers, d’après Wired.
ShinyHunters et la longue liste de ses cibles
L’économie du vol de données sur le dark web cache un mécanisme bien rodé. Elle est à l’origine des fraudes et des multiples usurpations d’identité. En l’absence de découvertes de nouvelles failles, les données déjà en circulation sont recyclées à l’infini à moindre coût. Par contre, de nouvelles informations valent de l’or. ShinyHunters fait partie de ces acteurs qui approvisionnent le dark web de données fraîchement volées.
En 2020, le groupe apparaît comme un nouvel acteur sur la scène de la cybersécurité. Il va rapidement attirer l’attention des médias avec l’enchaînement de plusieurs attaques.
Au début du mois de mai, les hackers dérobent près de 15 millions de données obtenues sur Tokopedia, un site e-commerce indonésien. Deux jours après cette attaque, ils vendent l’intégralité des données, soit près de 91 millions de comptes d’utilisateurs sur la plateforme Empire, sur le dark web.
Le même jour, ShinyHunters s’en prend à Unacademy, une plateforme éducative en Inde, et obtient les données de 22 millions de comptes.
Dans les deux attaques, les informations volées comprennent des identifiants, des numéros de téléphone, des noms complets, etc.
Le 6 mai, le gang enchaîne avec le vol de 500 Go de code source chez Microsoft, trouvé sur son compte GitHub. Microsoft temporise néanmoins l’attaque en déclarant que les codes allaient de toute façon être partagés au public.
Après deux semaines d’attaques intenses, ShinyHunters se concentre sur d’autres victimes. Le groupe déclare par exemple avoir des données sur une dizaine de sites, dont Zoosk, une application de rencontre, Minted, Star Tribune ou encore Mindful.
L’attaque d’envergure la plus récente est celle d’AT&T. Les pirates ont volé les enregistrements téléphoniques et SMS de dizaines de millions de clients en 2024. Piégé, le géant de la télécommunication n’a eu d’autres choix que de négocier. L’entreprise a payé 300 000 dollars en échange de la suppression de ces enregistrements.
Le mode opératoire de ShinyHunters
Le groupe de hackers fait parler de lui en avril 2020 lorsque plusieurs violations de données sont dévoilées publiquement. Parmi les données rendues publiques, on retrouve celles de Bonobos, une marque de vêtements pour homme, celles de l’application Pixlr ou encore celles du compte Github de Microsoft.
Lors de la révélation de cette nouvelle menace, Intel 471 ajoute d’autres victimes à cette longue liste : un site web spécialisé dans les concerts, une plateforme de voyage, un média sportif en ligne, etc. À la même période, ShinyHunters déclare détenir près de 70 millions de dossiers dérobés à AT&T, le géant de la télécommunication.
ShinyHunters cible des organisations appartenant à des secteurs économiques variés. Ses techniques de piratage suivent néanmoins le même schéma. Les hackers usent de tous les moyens pour obtenir des identifiants légitimes des services cloud de l’entreprise.
Cela leur permet de pénétrer l’infrastructure des bases de données et de collecter les informations personnelles. Les données sont ensuite revendues sur des places de marché noires.
Selon Intel 471, ShinyHunters se concentre dans un premier temps sur le personnel DevOps afin de dérober les OAuth valides. Ces derniers sont utilisés pour s’introduire dans l’infrastructure cloud de l’entreprise. Grâce à ces clés OAuth, ils peuvent contourner l’authentification à deux facteurs.
De son côté, le FBI souligne l’utilisation massive du phishing par ShinyHunters. Les hackers s’en prennent notamment aux utilisateurs de la plateforme GitHub. Les développeurs l’utilisent pour partager et stocker des projets. Le groupe prend contact avec le développeur cible via un mail contenant des liens malveillants.
Les victimes pensent atterrir sur un portail de connexion légitime de GitHub. Cela permet aux attaquants de récolter leurs identifiants et de voler leurs données.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Un hacker français impliqué dans les activités de ShinyHunters condamné en 2024
ShinyHunters est stoppé dans son élan par le FBI suite à l’arrestation de Sébastien Raoult, un jeune hacker français de 21 ans. Ce dernier a été interpellé à l’aéroport de Rabat-Salé au Maroc en mai 2022. La justice américaine demande aussitôt une extradition pour le juger pour neuf chefs d’accusation, dont :
- Fraude électronique,
- Conspiration en vue de commettre une fraude informatique,
- Et usurpation d’identité aggravée.
À l’époque, le français risquait une peine de 116 ans de prison s’il était jugé aux États-Unis.
Les enquêtes révèlent que Raoult est l’auteur des faux sites web qui imitent des portails légitimes de grandes entreprises. Les e-mails de phishing redirigeaient les victimes vers les faux sites créés par le hacker. Ce dernier agit au nom du groupe pendant au moins deux ans, d’après le bureau du procureur de Washington. Pendant cette période, ShinyHunters a gagné au moins 6 millions d’euros grâce aux vols de données.
Selon le procureur du district ouest de Washington, les motivations de Raoult sont purement financières. Le hacker a vendu les données sur le darkweb, il a également volé des cryptomonnaies. Les enquêteurs le soupçonnent même d’avoir vendu ses outils de piratage à d’autres pirates.
Le verdict est tombé en 2024. Pour tous ces crimes, l’homme encourt une peine de trois ans de prison. Raoult doit aussi restituer la somme de 5 millions de dollars.
Cette arrestation de Raoult pourrait marquer le début de la fin des ShinyHunters. Néanmoins, les experts estiment que d’autres cybergangs prendront le relais aussitôt. En effet, des groupes comme Gnostic Players usaient déjà du même mode opératoire avant l’apparition de ShinyHunters.
