Rechercher
Illustration : Une personne tapant sur un clavier dans le cadre d'une cyber-brèche. (Crédit : Techa Tungateja/iStock/Getty Images)
Illustration : Une personne tapant sur un clavier dans le cadre d'une cyber-brèche. (Crédit : Techa Tungateja/iStock/Getty Images)

Les dessous d’un collectif de cybercriminels expliqués par une firme israélienne

Cyberint, dont le siège est à Petah Tikva, a examiné l’organisation inhabituelle et le modus operandi d’un groupe de cyber-mercenaires prospères

Une industrie de plusieurs milliards de dollars a prospéré dans l’ombre d’internet, exerçant une influence sur la géopolitique, sur des pans entiers de l’économie et même sur les revenus de simples usagers de la Toile.

Si la cybercriminalité est aussi vieille que le Web, elle n’a jamais été aussi virulente qu’aujourd’hui, ni aussi lucrative.

L’ampleur de la cybercriminalité est par définition insaisissable mais un récent rapport établi par le Internet Crime Complaint Center du FBI a évalué les pertes potentielles des Américains en 2021 à 6,9 milliards de dollars, ce qui représentait une hausse de 2 milliards de dollars par rapport à l’année 2020.

« Il existe une communauté très florissante d’acteurs nuisibles qui gagnent des milliards de dollars chaque année grâce aux cyberattaques – qui constituent en quelque sorte la nouvelle forme du vol, du cambriolage dans la mesure où elles consistent à prendre quelque chose qui ne vous appartient pas et à essayer d’en tirer de l’argent », explique Yochai Corem, PDG de Cyberint Technologies Ltd, une société israélienne spécialisée dans le cyberespionnage.

Souvent, ces cybercriminels – connus sous le nom de « cyber-mercenaires » en raison de leur modèle commercial de piratage informatique et de leur réputation d’être prêts à faire des choses qui dépassent largement le cadre de la loi – agissent en tant que tiers en exécutant des opérations telles que des violations de données importantes, des fraudes par carte de crédit et des usurpations d’identité pour le compte de syndicats du crime ou d’États-nations.

Dans la sphère de la sécurité israélienne, plusieurs sociétés offrent des services de lutte contre les cyber-mercenaires qui sont utilisés par les grandes entreprises et par les gouvernements. Cyberint de Corem est l’une d’entre elles. Fondée en 2010, la firme se concentre sur le suivi des cyber-mercenaires et des cybercriminels plus largement, en les identifiant et en alertant les entités publiques et privées de leur présence. La société, basée à Petah Tikva, a levé 40 millions de dollars lors d’un tour de table de série C en juin.

« Notre objectif dans le cyberespace est d’être en mesure d’identifier les tractations, les communications entre les pirates et toute autre indication qui nous indiquera de manière anticipée que quelque chose se trame, et qui nous permettra potentiellement d’y remédier avant qu’il n’y ait un problème réel qui se pose », déclare Corem au Times of Israel lors d’une récente interview.

Un regard d’aigle

Au début de l’année, un nouveau groupe cybercriminel est apparu sur la scène. Baptisé « Atlas Intelligence Group » (également appelé Atlantis Cyber Army), il est dirigé par un personnage mystérieux qui se fait appeler M. Eagle.

Des collectifs de pirates informatiques naissent régulièrement dans le cyberespace. Mais Atlas est un cas curieux.

Cela fait plusieurs mois que Shmuel Gihon, chercheur au sein de Cyberint, traque le groupe. Il a publié un post, cet été, consacré à un rapport intitulé « Atlas Intelligence Group (A.I.G) – La colère d’un Titan » – un rapport qui entre dans le détail des activités de l’organisation.

« J’ai d’abord remarqué Atlas sur un forum clandestin et sur deux chaînes Telegram, elles aussi clandestines, aux environs du mois de mai. [Le groupe] tentait alors de mettre en place un modèle commercial qui le rendrait vraiment unique [dans la sphère du cybercrime] », déclare Gihon au Times of Israel.

Illustration : Des scripts de programmation sur un écran d’ordinateur. (Crédit : Motortion/iStock by Getty Images)

Un grand nombre d’entreprises illicites n’offrent qu’un ou deux services – attaques DDoS (par déni de service distribué) qui surchargent une page internet avec pour objectif de mettre un réseau hors-service, ou piratage des bases de données, entre autres – mais Atlas offre tout un menu de prestations.

Ces attaques DDoS sont parmi les services les plus prisés par les clients du groupe et Gihon a découvert des preuves d’exécution de la prestation, à hauteur de 20 euros par site ciblé. Atlas met également à disposition des données qui ont fuité à partir de sites du monde entier et dans des secteurs différents comme la finance, le gouvernement, l’éducation, la fabrication et la technologie, tout cela pour un prix minimal de 15 euros.

« C’est vraiment ce qui a rendu Atlas intéressant à mes yeux et j’ai ainsi essayé de le suivre et d’infiltrer ses groupes privés pour pouvoir comprendre ce qu’est réellement cette organisation », commente Gihon.

Au mois de juillet, Atlas s’était déjà propagé comme un virus, sa portée atteignant les États-Unis, Israël, les Émirats arabes unis, le Pakistan et la Colombie, ajoute-t-il.

Deux autres éléments déterminants frappent Gihon. Atlas offre « des services VIP » qui font référence à l’accès à d’importantes institutions mondiales ou qui permettent de se connecter à elles, et sa structure opérationnelle lui a tout de suite semblé inhabituelle pour un groupe cybercriminel.

Les recherches effectuées par Cyberint ont permis de découvrir une publicité d’Atlas qui affirme avoir établi des connexions avec les polices européennes, autorisant la compagnie à accéder à des informations sensibles sur des cibles choisies. Ainsi, la publicité mettait à disposition les bases de données des forces de l’ordre allemandes, révélant les adresses et les informations personnelles de citoyens obtenues par le biais des commissariats.

Cette capacité (et l’hypothèse de travail reste qu’Atlas a dit la vérité en faisant cette affirmation) montre la profondeur des liens entretenus par le groupe et la portée immense de ce collectif, déclare Gihon.

De manière plus notable, le groupe semble être organisé comme une agence d’espionnage, avec une hiérarchie dominée par M. Eagle qui semble être le seul à connaître l’envergure réelle des opérations menées, tandis que les autres acteurs sont essentiellement des hommes de main embauchés pour accomplir des missions sur la base de leurs capacités spécifiques – mais qui ne paraissent pas pour autant être conscients des enjeux plus généraux de leur travail.

« Ce que j’ai découvert, c’est que la structure du groupe est très intéressante parce qu’elle a un leader et que ce leader, tout le monde le suit. Il est le seul cerveau du plan, il est le seul cerveau des campagnes menées par Atlas », précise Gihon.

Le cloisonnement entre les membres du groupe, sur la base de leurs capacités, « maintient tous ceux qui font ‘le sale travail’ dans le noir », dit Gihon. « L’application de cette technique aboutit à un niveau élevé de sécurité opérationnelle [OpSec] pour les agents et elle les aide à éviter d’entretenir des relations avec les autres cybercriminels ».

Un penchant pour l’hacktivisme

En plus de son volet commercial profitable, Atlas semble également privilégier une philosophie cyber-activiste. L’un des projets parallèles du groupe consiste à divulguer les informations personnelles des pédophiles – une pratique appelée doxxing en anglais – n’hésitant pas à rendre publiques leurs coordonnées, leur adresse ou l’adresse de leur travail.

« Ce n’est pas quelque chose d’habituel. Il y a beaucoup de justiciers dans le monde entier qui se consacrent à ça », explique Gihon. « Mais on ne voit jamais de gangs ou de groupes cybercriminels le faire, on ne les voit pas s’en prendre aux pédophiles de cette façon ».

Capture d’écran d’une tentative de doxxing menée par les pirates de l’Atlas Intelligence Group concernant un pédophile allemand. (Autorisation : Cyberint)

Selon Gihon, le groupe a ainsi diffusé les coordonnées personnelles et d’autres informations – des adresses, des photographies et des numéros de téléphone – de pédophiles présumés dans plusieurs pays européens.

Gihon croit que M. Eagle et ses bras droits sont européens. « Je parie qu’ils sont issus d’un pays situé en Europe, un pays très développé… La France, l’Allemagne… Ce genre de pays », dit-il.

Au début du mois, l’Atlas Intelligence Group a été l’un des groupes de cybercriminels à avoir utilisé ses réseaux pour aider les manifestants en Iran dans un contexte de répression violente d’un mouvement de protestation contre la théocratie brutale du régime, un mouvement dont les femmes ont pris la tête. Les manifestations qui secouent le pays depuis plus d’un mois ont été déclenchées par la mort de Mahsa Amini, 22 ans, qui avait été arrêtée pour quelques cheveux qui s’échappaient de son hijab, contrevenant aux lois strictes du pays en matière de mœurs. Les autorités ont, à cette occasion, restreint l’accès à internet et pénalisé la vente de VPN (réseaux privés virtuels) qui étaient utilisés pour contourner ces restrictions.

Début octobre, le géant israélien de la cybersécurité Check Point a fait savoir que des groupes de hackers s’étaient tournés vers des chaînes cryptées sur les réseaux sociaux et vers le Dark web pour contourner les limitations mises en place par le régime et pour pouvoir communiquer. Atlas a fait fuiter différentes données, comme les numéros de téléphone et les adresses courriels des officiels, diffusant aussi des cartes des lieux sensibles. Il y a une prime offerte pour des renseignements sur les membres du Corps des Gardiens de la révolution islamique et sur ses forces paramilitaires, le Basij.

M. Eagle

Gihon ajoute que suite à la publication de son post sur le groupe, M. Eagle – ou quelqu’un se faisant passer pour lui – est entré en contact avec lui.

« Après la publication de l’information révélant l’existence de son groupe, M. Eagle a compris que nous étions dorénavant dans son cercle, d’une manière ou d’une autre », note-t-il. « Et il a voulu que nous entrions en contact avec lui, il voulait parler ».

Gihon ajoute que M. Eagle s’est révélé être une personnalité beaucoup plus enjouée que menaçante.

« Hé, j’ai entendu dire que vous me cherchez », dit Gihon, se souvenant de son premier contact avec M. Eagle. « Et il nous a fait des compliments. C’est vraiment ce qu’il a fait, pour être honnête. Il disait :’Vous avez réellement fait un travail terrible, formidable, je suis admiratif’, » se rappelle Gihon.

Cette réaction souligne l’un des dangers inhérents à la publication de recherches sur des groupes criminels – le danger d’apporter à ces organisations, jusqu’alors peu connues, de la publicité et de la crédibilité.

Gihon dit qu’il a tenté de profiter de la bonne volonté affichée par M. Eagle lors de leur entretien pour obtenir des informations supplémentaires sur l’organisation – avec un succès limité.

« Il est très, très prudent sur la nécessité de conserver son anonymat. Il n’a donc pas partagé beaucoup d’informations sur le lieu dont il est originaire. Mais il a pu éclairer certaines choses au sujet de sa relation avec les autres membres du groupe, ou des relations qu’il entretient avec d’autres entités, comme des gouvernements ».

(Les affirmations faites par M. Eagle n’ont pas pu être vérifiées de manière indépendante par le Times of Israel – sachant que toutes ces affirmations restent d’autant plus confuses que l’objectif poursuivi par M. Eagle est de brouiller les pistes et d’éviter d’être détecté.)

La nouvelle guerre

Tandis que certains des groupes de pirates informatiques les plus puissants du monde sont soutenus par des gouvernements – et qu’ils sont souvent utilisés pour mener des attaques de grande envergure susceptibles de paralyser les infrastructures et d’avoir un impact sur de très nombreuses personnes – la plupart des cybercrimes sont commis par des hackers indépendants en quête de profit.

« Si vous regardez la plupart des violations commises, elles ne proviennent pas de groupes très sophistiqués d’un État-nation. Elles sont faites par des cybercriminels avec pour intention de gagner de l’argent », commente Ophir Bleiberg, vice-président produit et R&D à Cyberint, auprès du Times of Israel.

« Ce sont eux qui frapperont les banques », remarque Bleiberg.

Si Atlas présente toutes les caractéristiques d’un réseau criminel indépendant, il semble aussi y avoir complémentarité entre le groupe et certains gouvernements qui pourraient rechercher ses services, selon Cyberint.

M. Eagle a déclaré, lors de leur entretien, que la plus grande partie des revenus du groupe proviennent d’entités gouvernementales qui font appel à lui, explique Gihon. Il a aussi affirmé entretenir des liens forts, en particulier aux États-Unis et en Allemagne.

Un groupe Telegram où Atlas a vendu ses produits. (Autorisation : Cyberint)

Gihon évoque l’exemple hypothétique de la National Security Agency (NSA), l’agence de renseignement américaine rendue tristement célèbre par le lanceur d’alerte Edward Snowden.

« Si, par exemple, les États-Unis veulent faire une campagne contre un allié [à des fins d’espionnage]. Ils ne voudront être liés à aucun groupe. Alors, ils doivent embaucher des mercenaires clandestins, des groupes clandestins comme [l’Atlas Intelligence Group], qui fera le sale travail pour eux », indique-t-il.

La relation furtive entre les cyber-mercenaires et les agences gouvernementales a fait surface ces dernières années, mettant en lumière les pratiques de défense auxquelles se prêtent parfois les grandes puissances.

En 2016, il avait été révélé que l’Agence de recherche internet russe était le bras armé – et officieux – de la machine de propagande du Kremlin, utilisant des robots et d’autres méthodes pour influencer les élections américaines et semer la division.

L’invasion par la Russie de l’Ukraine a apporté une dimension toute nouvelle à l’activisme décentralisé des pirates, autorisant tous ceux qui en ont le désir – et les capacités informatiques – d’avoir un impact sur les institutions militaires et économiques majeures.

« De nombreuses personnes, pensant que la Russie a tort dans ce qu’elle fait et pensant également qu’ils peuvent rejoindre la lutte, s’engagent pour Kiev, posent leurs ordinateurs sur leurs genoux et tentent de pirater la banque centrale de Russie », dit Corem, le directeur-général de Cyberint.

Tandis qu’à l’échelle macro, il y a de réelles inquiétudes en matière de géopolitique et d’économie globale, le réel impact du cybercrime est habituellement plus individualisé. Et alors qu’un plus grand nombre d’entités, comme les compagnies internet, rassemblent et stockent nos données et nos différents accès en termes de connexion, la sensibilisation aux risques reste insuffisante, explique Corem.

read more:
comments