Kommersant (Moscou)
Trois des plus importants forums de hacking russes ont récemment été piratés. Est-ce l’œuvre du FSB ? Les observateurs penchent plutôt pour la thèse de la redistribution des parts de marché entre groupes rivaux.
D’après le conglomérat financier russe Sberbank, les pertes subies par l’économie russe en 2020 à cause de la cybercriminalité atteindraient 3 500 milliards de roubles [39 milliards d’euros]. Soit l’équivalent de 73 % des fonds qui seront nécessaires, d’après les autorités, au redressement sur deux ans de l’économie du pays après la pandémie. La société de cybersécurité Group-IB estime à 145 milliards de roubles [1,6 milliard d’euros] le marché de la vente de données de cartes bancaires volées en 2020, un chiffre comparable à la somme consacrée par les Russes aux emprunts immobiliers pour la même année.
Selon Microsoft, la majorité des cyberattaques sont menées depuis la Russie. En septembre dernier, la multinationale américaine indiquait avoir envoyé [à ses clients] au cours des deux dernières années plus de 13 000 notifications d’attaques de pirates, dont la majorité étaient imputables à des groupes russes.
Or, début 2021, les “pirates russes” ont soudainement été victimes d’attaques à leur tour. Le 20 janvier, l’administrateur du forum pirate Verified faisait état d’une attaque, le 16 février c’était le tour du forum de carding CrdClub (utilisé par les cybercriminels pour échanger avec des marchands de fausses cartes de crédit), le 2 mars Exploit‧in annonçait avoir été pris pour cible, suivi par Maza, le doyen des forums russophones, le 3 mars.
Cette histoire de hackers hackés n’est pas forcément une bonne chose
Les forums de hacking sont de véritables marchés d’échange de biens et de services cybercriminels, explique Mikhaïl Kondrachine, directeur technique pour la Russie et la CEI de [l’éditeur japonais de logiciels de sécurité] Trend Micro. Pour les acteurs respectables du Web, cette histoire de hackers hackés semble être plutôt une bonne chose. Mais c’est loin d’être aussi simple.
Les pirates ne sont pas les seuls à fréquenter les forums de hacking. Sur ces sites, explique Dmitri Galov, expert en sécurité informatique de [la multinationale russe] Kaspersky Lab, on peut vendre et acheter des services ou discuter des aspects pratiques de leur utilisation. Ainsi, comme le raconte Vadim Soloviev, de la société [russe] Positive Technologies, on trouve parmi les visiteurs réguliers des programmeurs qui codent pour des chevaux de Troie – ils ne mènent pas d’attaques eux-mêmes mais vendent leurs services à des malfaiteurs.
Ces plateformes sont également fréquentées par des “particuliers” qui ne savent pas coder mais veulent se faire un peu d’argent en vendant des données, par exemple. “Ceux qui récupèrent l’argent au distributeur après l’attaque peuvent aussi être enregistrés sur ces forums”, ajoute Vadim Soloviev. On peut également croiser des intermédiaires qui exécutent la commande d’un tiers, revendent des données ou des logiciels malveillants. Ou encore des personnes ayant constitué un botnet (des machines mises en commun pour relayer un virus, par exemple) dans le but de le louer.
Des mécanismes complexes d’adhésion aux forums
Les administrateurs de ces forums se protègent des intrusions par un mécanisme complexe d’adhésion et par un prix d’entrée prohibitif. Pour s’inscrire, il faut confirmer son compte et fournir un “portfolio”, ou la recommandation d’un membre actif, explique Anton Ponomarev, directeur des ventes aux entreprises chez [le spécialiste slovaque de l’antivirus] ESET. Pour le forum Maza, le droit d’entrée est de 1 000 dollars (durant l’attaque de mars, les données de plus de 2 000 pirates ont été volées, ce qui donne une idée du nombre de membres).
Les administrateurs de ces plateformes gagnent de l’argent grâce aux adhésions mais aussi en participant aux systèmes frauduleux proposés sur leur forum. D’après l’une de nos sources dans le milieu du piratage, 500 000 dollars transitent par Maza chaque mois, tandis que le total des transactions de Maza, Verified et Exploit dépasserait le million de dollars.
Les plus grandes plateformes connues du dark web
Ces forums font souvent état de piratages d’autres forums, mais ces dernières attaques ont pour particularité d’avoir visé les plus grandes plateformes connues du dark web, explique Vadim Soloviev. “Trois plateformes en un mois, c’est bizarre. Je ne crois pas qu’il s’agisse de hackers ordinaires. Quelqu’un veut vraiment faire tomber les forums”, assure l’un des fondateurs d’Exploit.
La nature des intrusions indique que l’auteur disposait d’informations détaillées sur le fonctionnement des forums, assurent les experts que nous avons interrogés. Le système de veille d’Exploit a détecté une entrée non autorisée et une tentative d’interception et d’analyse du trafic réseau. Une attaque de ce type n’a pu être menée “que par une agence de renseignement ou du moins des personnes qui savent où se trouvent les serveurs”, a assuré l’un des fondateurs d’Exploit.
Certains de nos interlocuteurs font l’hypothèse d’un lien entre ces trois affaires et l’ancien officier du Centre de sécurité de l’information du FSB [ex-KGB], Dmitri Dokoutchaev. [Condamné en 2019 à six ans de colonie pénitentiaire pour haute trahison, il était accusé d’avoir transmis au FBI américain des informations issues de l’enquête menée par son administration sur Pavel Vroublevski, fondateur du système de paiement ChronoPay. Ce dernier a été condamné à deux ans de prison, jugé coupable d’avoir mené en 2010 une attaque contre un système de paiement lié à Aeroflot.]
Des attaques mais aucune annonce de fermeture
Mais, à y regarder de plus près, cette brillante déduction présente quelques faiblesses. D’abord, la Cour a rejeté la demande de réduction de peine de Dokoutchaev. Ensuite, même Pavel Vroublevski n’a pas mis Dokoutchaev en cause, déclarant ne pas connaître l’auteur de ces attaques. “Ce piratage signera sans doute la fin de ces communautés et supprimera la menace qu’elles faisaient peser sur Dmitri”, a-t-il simplement dit*.* L’administrateur de Maza nous a assuré que Dmitri Dokoutchaev n’avait aucun lien avec l’administration du forum, pas plus qu’avec son piratage.
Plus important, ces attaques n’ont été suivies d’aucune annonce de fermeture par les autorités. D’après l’une de nos sources, une copie de Verified serait même déjà opérationnelle à une autre adresse, tandis que le portail Exploit a repris son activité. La page d’accueil de Verified annonce que tous les utilisateurs ont reçu de nouveaux identifiants, précise Victoria Kivilevitch, de la société de sécurité informatique Kela. D’après elle, CrdClub serait également opérationnel tandis qu’Exploit aurait uniquement interrompu l’activité de son site miroir sur le segment légal d’Internet.
Un dénouement fort inhabituel pour une action des forces de sécurité. Lorsqu’en 2019 les services biélorusses se sont introduits sur le forum russophone de hackers XakFor, sa fermeture a été annoncée par le ministère de l’Intérieur et le Comité d’enquête biélorusses.
Une guerre de redistribution des territoires
“Les attaques sur des ressources de ce type ne sont pas rentables pour le renseignement, qui s’en sert régulièrement pour collecter de l’information”, souligne de son côté Igor Zalevski, directeur des enquêtes sur les incidents liés à la sécurité chez [l’opérateur de télécommunications] Rostelecom. Ce qui nous pousse à privilégier l’hypothèse que les principaux acteurs du marché parallèle des données informatiques seraient en pleine guerre pour son partage.
La multiplication des attaques menées contre les pirates est très probablement liée à une redistribution des rôles sur le marché noir du Web et du commerce des données, estime Achot Oganessian, fondateur du service de renseignements sur les fuites de données DLBI. Ces raids seraient l’œuvre de forums qui voudraient détruire la réputation de leurs concurrents, ou de membres entrés en conflit avec leur communauté.
S’il s’agit d’un affrontement entre groupes rivaux, il pourrait avoir un effet dévastateur sur la communauté des hackers, dont la principale crainte est la “désanonymisation”. Le risque est réel si les propriétaires des sites piratés ont consigné les adresses IP dans un registre, explique Vadim Soloviev, de Positive Technologies. Cela faciliterait le travail des autorités pour localiser les cybercriminels.
L’identification des membres de ces forums compliquerait le travail des plateformes illégales. Leurs utilisateurs vont migrer vers d’autres sites, “ce qui répond aux objectifs des agresseurs”, d’après Achot Oganessian, puisqu’il s’agit d’une lutte entre concurrents. Mais les administrateurs de tous les sites rescapés vont durcir la procédure d’inscription de nouveaux membres, renforcer les défenses de leur infrastructure et refuser de conserver les données des utilisateurs, indique Anton Ponomarev.
Hackers et institutions vont augmenter leurs tarifs
Les membres des groupes de hackers vont désormais se montrer plus prudents. Igor Zalevski confirme que certains pirates ont déjà cessé leurs activités. Ceux qui restent dans le jeu ont d’ores et déjà augmenté leurs tarifs au vu des risques de désanonymisation encourus dans le cas où un nouveau forum viendrait à être piraté.
Les entreprises et les banques, de leur côté, doivent sans cesse renforcer leur sécurité. L’année dernière, d’après [le groupe informatique américain] Cisco, les sociétés russes auraient dépensé en moyenne 1,4 million de dollars pour protéger leurs données. D’après une étude de PwC, 52 % des entreprises russes prévoient en 2021 d’augmenter leur budget alloué à la cybersécurité, et 42 % déclarent vouloir embaucher des spécialistes.
Ioulia Stepanova et Ioulia Tichina
Cet article a été publié dans sa version originale le 19/03/2021.
Publié le 06/06/2021 en français dans le Courrier International