La guerre russo-ukrainienne atteint le côté obscur d’internet
En avril, la police allemande, agissant sur une dénonciation de ses collègues américains, a découvert les serveurs du plus grand bazar en ligne de stupéfiants et autres produits de contrebande de la planète.
Depuis 2017, Hydra dominait le commerce de la drogue illégale en Russie et dans les pays voisins. Après avoir pris le contrôle du site, les autorités allemandes ont récupéré 23 millions d’euros (16,7 millions de dollars) en crypto-monnaie mal acquise.
Mais ce qui a probablement attiré l’attention des forces de l’ordre occidentales, ce ne sont pas les trafiquants de drogue russes, qui font des affaires principalement en Russie.
Hydra a également proposé des services de faux documents, de piratage et de blanchiment d’argent, qui pourraient être utilisés de manière néfaste contre les intérêts ou les citoyens occidentaux.
Alors que le démantèlement d’Hydra était le résultat d’une opération qui avait commencé des mois avant l’invasion de l’Ukraine par la Russie en février, le paysage numérique qu’elle dominait autrefois est devenu un autre front silencieux dans la guerre russo-ukrainienne.
Dans le passé, des cyber-escrocs russes et ukrainiens ont pillé ensemble les comptes bancaires des victimes il y a 20 ans, des cyber-escrocs russophones de tout l’ancien empire soviétique se sont rendus à Odessa pour leur première conférence mondiale.
Mais selon Andrs Tth-Czifra, analyste principal chez Flashpoint Intelligence, basé à Washington, DC, depuis 2019 environ, il y a eu un fossé grandissant entre les pirates informatiques russes et leurs anciens partenaires criminels.
[There was] un malaise croissant que l’Ukraine coopérait avec la cyber-police occidentale, qui était lui-même une conséquence de l’aide des pays occidentaux pour renforcer les cyber-défense de l’Ukraine, a expliqué Tth-Czifra.
Il a été entendu que si vous êtes en Ukraine, vous pouvez être arrêté. Bien sûr, vous ne serez pas toujours arrêté, surtout si vous n’êtes qu’un petit cybercriminel. Mais si vous étiez, par exemple, un opérateur de ransomware, vous étiez soudainement confronté à des risques plus élevés. Et oui, après, il y a eu des arrestations plus importantes.
Après la chute d’Hydra, une grande partie de sa clientèle et de ses marchands se sont regroupés sur RuTor, un forum en ligne qui est l’un des plus anciens lieux de rencontre de la cybercriminalité sur Internet en Russie.
Ensuite, des rumeurs se sont répandues selon lesquelles le site Web était sous le contrôle du SBU, le service de sécurité ukrainien.
Les allégations d’une sinistre mafia ukrainienne empoisonnant la jeunesse du pays par le trafic de stupéfiants existent depuis le milieu des années 2010. Mais à part la nationalité de certains suspects, il n’y a aucune preuve solide d’un complot menant au SBU lui-même.
Mais ces rumeurs ont fait de RuTor une cible pour le groupe hacktiviste pro-Kremlin Killnet, qui a bombardé le forum d’attaques DDoS (déni de service distribué).
Les attaques DDoS fonctionnent en dirigeant les botnets (ordinateurs infectés) sous le contrôle des pirates pour submerger les serveurs cibles avec le trafic Web, au point où ils sont incapables de fonctionner.
Il y a eu le démantèlement d’Hydra qui a déclenché une guerre des marchés, a déclaré Tth-Czifra. Mais puisque le contexte [of the Ukraine war] était là, ils ont commencé à définir leurs actions. Par exemple, lorsque Killnet a fait appel à ses abonnés pour commettre des attaques DDoS contre RuTor, ils ont décrit RuTor comme un forum SBU. Une chose que Killnet a certainement fait est d’essayer d’obtenir le soutien de l’État ; ils ont été assez ouverts à ce sujet.
Vladislav Cuiujuclu, spécialiste de la cybercriminalité chez Flashpoint, a ajouté : Ce n’était pas une attaque explicite contre les marchés de stupéfiants, c’était une attaque contre des marchés qui auraient des liens avec l’Ukraine. WayAway, qui est considéré comme le successeur d’Hydra à certains égards, Killnet les prend en charge. Alors peut-être que la connexion ukrainienne est juste une chose pratique pour eux.
En novembre, Killnet a revendiqué la responsabilité des cyberattaques contre Skylink, le réseau de communications par satellite du magnat des affaires Elon Musks et la Maison Blanche, pour leur soutien à l’Ukraine. On pense également qu’ils sont à l’origine des récentes cyberattaques contre le Parlement européen.
Un changement certain que nous avons constaté au cours des neuf derniers mois est l’apparition de collectifs qui se concentraient principalement sur les DDoS, mais ce qui est vraiment important, c’est qu’ils recrutent ouvertement des personnes sur Telegram via divers robots, a révélé Cuiujuclu.
Je ne parle pas seulement de Killnet, je parle de la Russie anonyme et de tous ces sous-groupes. Selon les administrateurs de ces groupes, ils ont recruté des centaines et des milliers de personnes qui seraient des volontaires.
Killnet est un groupe de hacktivistes avec des objectifs politiques clairs qu’ils veulent atteindre.
Pour la plupart, les cyberescrocs principalement intéressés à gagner de l’argent sont restés en dehors de la mêlée, leur intérêt pour les affaires courantes se limitant à la manière dont ils peuvent réaliser des bénéfices.
Par exemple, lorsque la mobilisation a été déclarée en Russie, les escrocs du darknet ont commencé à vendre de faux visas Schengen.
Et l’occupation russe des Ukraines Kherson et Marioupol a à peine interrompu le flux de méphédrone, de haschich et d’autres drogues vers ces régions, comme l’a découvert une enquête du journal indépendant russe Novaya Gazeta.
Mais au moins un collectif en chef de ransomwares, Conti, a juré allégeance à la Russie avant d’être trahi par un initié ukrainien, qui a divulgué ses journaux de discussion secrets.
D’après ces journaux, il semble que Conti puisse avoir une relation de travail lâche avec les services de renseignement russes.
Et bien que les attaques de botnet et les hacktivistes soient une chose, qu’en est-il du vrai monde Internet ?
En octobre, la populaire chaîne Telegram SHOT, qui publie occasionnellement des points de discussion du Kremlin, a rapporté qu’une jeune fille de 16 ans travaillant comme coursière pour un trafiquant de drogue en ligne à Nijni Novgorod avait été condamnée à rembourser une dette envers son patron en incendiant un bureau de conscription militaire.
Depuis le déclenchement de la guerre, des dizaines de bureaux de recrutement ont pris feu dans toute la Russie. L’adolescente, cependant, a refusé de suivre le plan et a plutôt remis deux de ses compagnons incendiaires à la police; le cerveau reste en liberté.
Des sources russes chargées de l’application des lois ont déclaré au site d’information pro-Kremlin Life.ru que les agents ukrainiens payaient 30 000 roubles russes (470 dollars) pour chaque bureau de recrutement incendié, tandis que le partage de clips de l’attaque sur les réseaux sociaux pouvait vous rapporter 5 000 roubles (80 dollars). Un acte de sabotage contre les infrastructures russes, quant à lui, valait jusqu’à 20 000 dollars.
Alors qu’Al Jazeera n’a pas été en mesure de vérifier ces offres de manière indépendante, les analystes de Flashpoint ont déclaré que de tels actes sont plus probablement orchestrés par les réseaux de saboteurs existants.
Il est possible que des saboteurs soient embauchés via le dark net, mais je pense qu’il est plus probable que s’il y a une coordination, elle se déroule sur Telegram dans des groupes comme la Free Russia Legion ou Rospartizan qui ont encouragé de telles actions et ont partagé les coordonnées et mettre en place des bots Telegram pour ceux qui veulent entrer en contact, a déclaré Tth-Czifra.
Au début de la guerre, les administrateurs de Legalizer.cc, l’une des plus grandes plateformes de drogue en Ukraine, ont annoncé qu’ils sympathisent avec ce qui se passe et ont offert une aide financière aux résidents ukrainiens qui se trouvent dans une situation difficile.
Sur demande, la plateforme a promis de déposer environ 20 $ à la fois sur les comptes cryptographiques des utilisateurs. Ailleurs sur le site, il est possible de lire les commentaires des destinataires exprimant leurs remerciements, avec quelques photographies jointes de nourriture ou d’autres produits de première nécessité qu’ils avaient achetés.
Je remercie le forum pour son soutien moral et financier !!! on a écrit. Nous allons gagner! L’Ukraine sera libre !
À en juger par les commentaires continus, en décembre, le programme est toujours en cours.
Mais les pirates ont également exploité la crise.
Selon un récent rapport du site d’information letton Meduza, exilé alors que la Russie réprime les médias indépendants, des organisations caritatives ukrainiennes ont été piratées et leurs dons détournés vers le groupe paramilitaire néonazi russe Rusich, pour acheter du matériel et des gilets pare-balles. .
Rusich a également accepté des paiements à partir de comptes sur au moins trois marchés de la drogue en ligne, bien qu’il soit possible qu’ils n’aient utilisé les bazars du darknet que pour cacher leur trace d’argent, ou qu’ils aient infecté les ordinateurs des revendeurs avec des logiciels malveillants. Le chef de Rusich, Alexey Milchakov, a confirmé les escroqueries de piratage et a qualifié les donneurs de trafiquants de drogue de véritables patriotes de la Russie.
Ce sont des techniques assez faciles que vous pouvez acheter commercialement sur des forums illicites, a déclaré Tth-Czifra.
La plupart des cybercriminels présents sur ces forums auront des motivations financières, ils n’hésiteront pas à détourner des dons ou à pirater un site Web qui collecte des fonds humanitaires. Mais je pense que je ne voyais certainement pas l’image complète. Les sommes sont relativement faibles, mais si vous gérez plusieurs programmes comme celui-ci, après un certain temps, vous collecterez une somme d’argent considérable.