Les chercheurs en sécurité de l'unité 42 de Palo Alto Networks (société américaine de cybersécurité) ont publié un rapport détaillé sur un groupe de hackers basé en Afrique du Sud et nommé Automated Libra. Automated Libra est à l'origine d'un système élaboré d'extraction de crypto-monnaies appelé "PurpleUrchin", qui a coûté à d'importants fournisseurs de services cloud, dont Microsoft et Salesforce, des millions de dollars en ressources et en factures impayées.

Le Freejacking fonctionne en utilisant des ressources cloud gratuites (ou à durée limitée) pour effectuer des opérations de crypto mining. Le système d'Automated Libra utilisait frauduleusement les ressources des plateformes de cloud pour effectuer des opérations de minage de crypto-monnaies via Github et Heroku, respectivement propriété de Microsoft et Salesforce.

Le groupe s'est également livré à des fraudes à la carte de crédit, accumulant des factures de services impayées. Bien que les factures individuelles soient relativement peu élevées (190 USD maximum), entre septembre et novembre 2022, Automated Libra aurait créé 22 380 comptes Github. Si chacun d'entre eux a accumulé une facture impayée de 100 USD, cela représente plus de 2 M USD (34 M ZAR) de fraude présumée à la carte de crédit. Cela ne comprend pas les 100 723 comptes Heroku que le groupe a créés entre novembre 2021 et juillet 2022.

Pour créer les comptes, le groupe aurait utilisé xdotool, un outil permettant de générer automatiquement des entrées de clavier et de souris, afin de remplir la page de création de compte Github. Pour compléter le processus qui nécessite d'identifier correctement une image "CAPTCHA", le groupe a pris le kit d'outils ImageMagick, utilisé pour convertir, éditer et composer des photos numériques. Grâce à cet outil, les pirates ont pu identifier correctement les images CAPTCHA, ce qui leur a permis de terminer automatiquement le processus de création de compte et de poursuivre les tactiques de "freejacking" et de "play and run".

Les chercheurs ont déclaré avoir identifié plus de 40 portefeuilles de crypto individuels et sept crypto-monnaies ou jetons différents utilisés dans le cadre de l'opération PurpleUrchin. Ils ont également découvert qu'Automated Libra vendait les crypto-monnaies extraites par le biais de plusieurs plateformes d'échange, telles que CRATEX ExchangeMarket, crex24 et Luno.

Le site de news en ligne MyBroadband a interrogé Luno afin de savoir s’il avait été alerté par les parties concernées sur Automated Libra et PurpleUrchin. Le responsable de Luno en Afrique du Sud, Christo de Wit, a répondu qu'aucune des parties concernées ne l'avait contacté. En revanche, il indiquait : « avec nos processus KYC [Know Your Customer], nous sommes en mesure de fournir des informations pertinentes aux organismes chargés de l’application de la loi qui en font la demande lors de l'enquête sur ce type d'incident. Notre équipe FinCrime surveille également activement les transactions conformément à la réglementation. »

Au cours des 2 dernières années, l'Afrique du Sud a connu sa part d'escroqueries en crypto-monnaies. En 2022, la Commodities Futures Trading Commission (CFTC) américaine inculpait le résident sud-africain Cornelius Johannes Steynberg dans une affaire de fraude au bitcoin d'un montant total de 1,7 Md USD. En octobre de la même année, la Commission Nationale de la Consommation (NCC) annonçait que 4 000 Sud-Africains avaient perdu l’équivalent de 6,1 M USD dans un système pyramidal d'extraction de bitcoins appelé Obelisk.

Sources : Jan Vermeulen, 6 janvier 2023, Mybroadband /Ephraim Modise, 10 janvier 2023, TechCabal