S'abonner Se connecter
Journal d'investigation en ligne
Dossier
Technos
par Sam Han

Ransomware #3 : les bleus à l'offensive

Dix ans de grandes opérations et d'évolution des stratégies de lutte contre le cyber-crime

Les simulations de cyber-attaques mettent en jeu deux équipes : la rouge jouant les hackers et la bleue en charge de la défense du réseau. Mais dans la réalité, les rôles ne sont pas aussi figés. Parfois les bleus montrent les dents et se mettent à hacker les hackers.

Défacement du site hébergeant les fuites de données de Lockbit par le FBI. Vannes à l'appui.
Vous lisez un article réservé aux abonnés.

Les autorités des pays victimes ont d'abord été dépassées par cette cyber-criminalité transnationale, élusive et en constante adaptation. Et puis, enquête après enquête, les forces de l'ordre ont suivi des pistes numériques et commencé à constituer des dossiers. Que voulez-vous, même les cyber-criminels font parfois des erreurs. Mais de signalements à Interpol en crises diplomatiques, les forces bleues ont dû se rendre à l'évidence, les autorités russes ne comptaient pas lever une seule griffe contre le cybercrime. Et elles ont dû se résoudre à passer à d'autres méthodes.

Autour des années 2010, les grands botnets apparaissent : des réseaux de machines infectées, véritables zombies aux ordres du clavier de leur maître. Ils se propagent par le spam, les machines compromises émettant des courriers re-diffusant la souche virale. Ils sont utilisés pour des attaques de déni de service, l'anonymisation, le minage de bitcoin. Les premières tentatives de contre-attaque sont d'abord opportunistes et locales. Mais l'étendue du phénomène pousse les défenseurs à unir leurs efforts. En Europe, le « European Cybercrime Center » est créé en 2013, sous l'égide d'Europol. Depuis cette époque, les forces de police de différents États, rejointes par le complexe cybersécuritaire, n'ont eu de cesse d'approfondir leur collaboration.

Les premières attaques des zombies

Le premier grand botnet, prénommé Zeus et créé par Evgeniy Bogachev, est initialement destiné aux vols d'identifiants bancaires. Rapidement adopté par les criminels pour son efficacité, le réseau zombie se propage et se fait connaitre. Après une première vague d'arrestations en 2010, Bogachev va adapter ses tactiques. Il durcit le protocole de communication de son botnet en décentralisant son contrôle et le renomme « GameoverZeus ». À partir de 2011, la nouvelle souche est louée à ses partenaires criminels et les attaques s'intensifient. Bientôt, « Gameover Zeus » se met à installer sur les machines infectées une souche de ransomware : « CryptoLocker ». Les pertes augmentent et il faut absolument stopper l'hémorragie.

Werner et Stone-Gross sont deux chercheurs de la firme de cybersécurité Crowdstrike. Ils ont déjà tenté une attaque contre Zeus en 2013, mais le réseau leur a échappé. Ils contactent alors une cellule spécialisée du FBI à Pittsburg qui les accueille à bras ouverts. Une coalition internationale est mise sur pied, composée de représentants de plus de 12 pays et de nombreux experts poids lourds de la cybersécurité. L'opération est enclenchée le 30 mai 2014.

La stratégie utilisée demande un millimétrage précis. Depuis des mois, les enquêteurs rassemblent des mandats et débriefent les différents intervenants. Quelques semaines auparavant, ils ont découvert un serveur alternatif de contrôle du botnet. À l'heure dite, les deux serveurs maîtres sont déconnectés du réseau et les fournisseurs internet commencent à rediriger le trafic des ordinateurs zombifiés vers un « gouffre sans fond » (ou « sinkhole »), un espace parallèle créé dans Internet, isolé, pour qu'ils ne puissent plus contacter leurs ordinateurs maîtres. Les companies antivirus s'attellent alors à nettoyer les machines infectées et à en redonner le contrôle à leurs propriétaires.

L'équipe va observer Bogachev tenter de reprendre le contrôle. Les enquêteurs le voient tester des parties de son réseau, tenter de rediriger une partie du trafic vers de nouveaux serveurs, essayant de comprendre l'attaque pilotée depuis Pittsburgh. Son nœud de connexion Turc est déconnecté, Bogachev revient à travers le réseau Tor pour constater les dommages. Le corps à corps virtuel dure des heures et Bogachev finit par devenir silencieux. « Il a dû réaliser qu'il s'agissait d'une opération des forces de l'ordre. Que ce n'était pas une attaque normale de chercheurs ». Deux jours plus tard, le département de la Justice américain l'inculpe pour quatorze chefs d'accusation. Deux ans plus tard, une prime de 3 millions de dollars est placée sur sa tête, la plus haute pour un cyber-criminel.

Le fonctionnement de l'opération mise au point par l'équipe de Evgeniy Bogachev - FBI
Le fonctionnement de l'opération mise au point par l'équipe de Evgeniy Bogachev - FBI

Et ces grandes opérations continuent. Le 22 septembre 2020, la NSA passe à l'attaque contre le botnet TrickBot, un système de logiciels malicieux maintenu par une branche spéciale du cyber-gang Conti. La fuite des messages du gang en 2022, surnommée ContiLeaks, permet de mieux apprécier les impressions des hackers qui en sont la cible :

« Ceux qui ont foutu le bordel l'ont fait avec soin. Ils savaient comment le réseau fonctionnait. Ils ont probablement eu le code ou l'ont décodé. Ils ont chiffré la configuration, ils avaient nos outils et nos clefs, se sont connectés au serveur de contrôle : c'est juste du sabotage » « Avec cette nouvelle configuration qu'ils ont introduite, les zombies vont simplement s'immobiliser. Et après un moment, ils vont tenter de se mettre à jour, mais ils n'en seront pas capables, car les saboteurs ont utilisé la plus haute version possible. Désolé, c'est la merde. Je ne sais pas comment les récupérer. »

Le réseau zombie ne sera pas totalement mis à bas. Il reprendra du service pendant quelque temps avant d'être éteint par ses créateurs après un mois d'inactivité.

Infiltrer la ruche

Les campagnes internationales pour démanteler l'infrastructure des grands botnets se poursuivent, avec le démantèlement du botnet Emotet en 2021 ou celle de QuackBot en 2023. Mais ces grandes opérations de nettoyage ne semblent pas suffire à endiguer le phénomène, et certains ne vont plus s'en contenter.

Depuis quelques années, une startup suisse défraye la chronique avec plusieurs piratages de cyber-gangs, mandatée par ses clients du secteur bancaire. Son nom est évocateur : PRODAFT ou « Défense proactive contre les menaces futures ». Début 2021, ils ont hacké le serveur de « Command and Control  » du groupe Solarsfish, auteur de « la plus grande attaque de tous les temps ». Ils tireront des enseignements précieux de l'opération, partagés avec la communauté. En novembre 2021, ils exploitent une vulnérabilité dans les serveurs du gang Conti et révèlent une partie de son infrastructure. Le gang minimisera l'attaque avec ce commentaire : « Il semble que les européens ont aussi décidé d'abandonner leurs manières et de passer full-gangsta en piratant nos systèmes. C'est bien d'avoir enfin un opposant légitime ». Plus récemment, commentant l'intrusion dont il venait de faire les frais en février 2024, le leader du groupe Lockbit déclarait : « Je pense que c'est quelqu'un de PRODAFT ».

Le démantèlement du gang Hive va également illustrer cette tendance. En 2021, le groupe décide de fédérer la communauté cybercriminelle pour créer de nouvelles collaborations. De nombreux hackers, de différents groupes, rejoignent un espace de travail collaboratif que Hive a mis en place. Les hackers y échangent techniques, offres d'emploi et travaillent sur leurs cibles.

Fin juillet 2022, le FBI de Tampa parvient à prendre pied sur le portail grâce à « une activité triviale d'enquêteur, une de celle qui ne fait pas un grand TV show, mais qui résout les grandes affaires ». Découvrant les lieux, les enquêteurs parviennent, dans un premier temps, à accéder à la liste des cibles. Puis mettent au point une méthode permettant de générer le remède pour chacune d'entre elles. Les forces de l'ordre vont maintenir leur accès et l'infiltration pendant plus de sept mois, recueillant des informations précieuses et informant les victimes au fil du temps.

Pour notre journal, cette histoire est un peu spéciale, Altice ayant été piratée par Hive précisément à cette époque. En contact probable avec le FBI, Patrick Drahi avait refusé de payer et donc vu ses données mises en ligne sur le darknet. Puis, voulant censurer nos publications basées sur cette fuite, il nous avait mis poursuivis devant le tribunal de commerce et accusés d'aider les hackers. Un argument battu en brèche quelques mois plus tard lors du procès où aucune preuve de cela n'avait pu être apportée alors que l'infiltration avait pourtant été rendue publique.

En janvier 2023, les bleus annoncent leur opération sur Hive, un des groupes les plus actifs à l'époque
En janvier 2023, les bleus annoncent leur opération sur Hive, un des groupes les plus actifs à l'époque

Malgré le démantèlement de l'infrastructure du gang, aucune inculpation n'est annoncée. Hive va renaitre de ses cendres, quelques mois plus tard, sous le nom de « Hunters International ». Il allait falloir mettre la barre plus haut.

Défaire l'esprit de l'essaim

L'opération déclenchée le 20 février 2024 est qualifiée, par la firme Analyst1 d'« opération psychologique longuement attendue ». Elle est nommée « Opération Cronos » du nom du jeune leader de la première génération de Titans régnant sur le mythologique Âge d'Or. C'est le cyber-gang Lockbit, qui a fanfaronné en haut de l'affiche en 2023 qui va en faire les frais.

Cette fois encore, la « National Crime Agency », le FBI, Europol et les poids lourds de la cybersécurité vont travailler de concert. Trente-quatre serveurs seront saisis aux Pays-Bas, en Allemagne, en Finlande, en Suisse, en Australie... Les autorités vont infiltrer l'infrastructure du cyber-gang pour en exhumer tous les petits secrets. Mais ce qui va rendre cette opération spéciale, c'est le soin donné à détruire la marque Lockbit.

Le jour J, le site hébergeant les fuites de données du gang est modifié et parodié pour mettre en avant les succès de l'opération. L'alliance publie les preuves de l'intrusion et la liste des affilés abonnés chez Lockbit. Un encart met également en avant les raids effectués en Pologne et en Ukraine, et trois nouvelles personnes sont nommées, inculpées et sanctionnées. Les autorités les mettent ainsi en lumière et soulignent comment leur affiliation au gang les a mises dans leur viseur. Elles annoncent de nouvelles sanctions contre le cyber-crime et une prime de 15 millions de dollars pour des informations menant à l'arrestation de l'équipe de Lockbit. Après avoir fait languir leur public pendant un mois, les autorités divulgueront finalement l'identité du chef du gang : Dmitry Khroshev.

L'opération Chronos magnifie ainsi une stratégie reine sur les réseaux, depuis aussi longtemps qu'Internet existe : les opérations psy-ops et les attaques sur les liens de confiance. Car sous les couches d'anonymités et de personas se cachent encore des humains. La ressource la plus précieuse de ce gang était sa réputation, construite avec soin au fil du temps. Seule réelle construction de l'identité dans les forums élusifs du dark web. Mais plus encore, les chercheurs soulignent que l'écosystème cyber-criminel est organisé autour des compétences. Par ces psy-ops, les forces de l'ordre tentent de semer la zizanie dans ces groupes humains.

Plus récemment, début juin, l'opération Endgame était lancée contre des botnets de logiciels malicieux, passerelles vers les grandes attaques criminelles. Cette fois, les autorités annoncent la diffusion de deux saisons de petits films d'animations. Dans l'un d'eux, il s'interrogent sur l'identité d'un hacker, « Odd ». Dans l'autre, ils annoncent la future saisie des portefeuilles de bitcoins. Un compteur suit toujours son cours. Le site affiche : « N'hésitez pas à engager la conversation, vous pourriez avoir besoin de nous. Et pensez bien à votre prochain mouvement. »

Quelques captures d'écran de la mini-série, en cours de diffusion actuellement - © Reflets
Quelques captures d'écran de la mini-série, en cours de diffusion actuellement - © Reflets

1 Commentaire
Une info, un document ? Contactez-nous de façon sécurisée