Comment les agences de cybersécurité créent le chaos sur le darknet
Les forums du darknet sont au cœur de la stratégie des groupes cybercriminels. Ils servent à la fois de lieux de briefing en vue de mener une attaque, de Pôle Emploi pour hackers et de marketplace. Chaque forum est différent, animé par une nationalité ou ethnie différente, une idéologie différente ou un esprit corporate différent. Mais tous ont deux éléments en commun, qui ensemble sont la clé de voûte de ces forums : la confiance et la réputation.
Nous parlons d'organisations criminelles qui, contrairement à celles du monde réel, n'organisent pas de grandes réunions physiques. Donc si le lien de confiance est brisé, il est impossible de le réparer. La réputation sert à amener de nouvelles recrues au sein du forum, et aussi de nouveaux vendeurs qui permettront de garder le forum dynamique et attrayant pour les acheteurs. Si la réputation d'un forum est détruite, ses équipes perdront de l'argent et des membres, et pourraient voir leur popularité baisser auprès du monde cybercriminel. Ces deux éléments sont donc des objectifs prioritaires pour les agences de sécurité qui sont en charge de la lutte anti-cybercriminalité.
L'operation crystal dagger
Petit retour en arrière. En pleine pandémie de la Covid 19, des cybercriminels usurpent massivement l'identité du gouvernement australien à travers des mails de phishing, smishing et même de fausses applications. L'objectif : voler des données et implanter des malwares sur les ordinateurs des citoyens australiens. Toutes ces attaques semblent utiliser le même virus, de type cheval de Troie, ou Trojan. Face à cette attaque d'ampleur, l'Australian Signals Directorate (ASD) déploie immédiatement sa task force d'infiltration dans le darknet pour trouver le groupe à l'origine de ce malware. Un opérateur de l'ASD infiltre un forum russophone, et y trouve le virus utilisé pour cibler l'Australie. L'agent entre en relation avec le vendeur et achète le malware pour une centaine de dollars australiens. Immédiatement, les techniciens de l'ASD effectuent un reverse engineering, rendent le virus inoffensif et "soignent" les ordinateurs infectés.
Vient alors la deuxième phase de l'opération Crystal Dagger : détruire la réputation du groupe de cybercriminels ayant créé ce virus. Pour commencer, les opérateurs de l'ASD infiltrés sur le darknet mettent une mauvaise note au malware, puis critiquent ouvertement ses créateurs, et enfin publient sur le darknet les conversations qu'ils ont eues avec les cybercriminels dans lesquelles ces derniers expliquent que si le produit ne marche pas, c'est la faute du client et pas du vendeur. Cette campagne a détruit l'e-réputation des cybercriminels et a mis fin à leur juteux business, comme nous l'explique Ryan Kalember, cybersecurity strategy chez Proofpoint et membre du National Cybersecurity Alliance : "Lorsque la confiance est rompue, les cybercriminels ne peuvent que se réinventer et créer une nouvelle identité, de nouveaux réseaux et canaux où ils postent des versions modifiées de leurs ransomwares. C'est le cas d'Emotet, l'un des groupes de ransomwares les plus populaires, qui a réussi à revenir en novembre 2022 après avoir été fermé en juillet de la même année."
Mais comment l'ASD compose-t-elle sa task force d'infiltration ? Les chefs de l'agence expliquent qu'ils recrutent des personnes issues de toutes les strates de la société, et insistent sur le fait de choisir régulièrement des profils venant de la "neurodiversité", comme des personnes dyslexiques. Les opérateurs possèdent aussi un très haut niveau technique et sont bien rodés aux us et coutumes du monde cybercriminel, il n'est donc pas exclu que certains soient d'anciens cybercriminels repentis.
Si ces opérations mettent en difficulté les cybercriminels, voire permettent d'en mettre certains en prison, il ne faut pas oublier que le monde du darknet est reconnu pour son adaptabilité. Comme l'explique Ryan Kalember, "les autorités gouvernementales sont dévouées à contrer les menaces sur leurs infrastructures les plus critiques, par des moyens qui répondent à l'urgence et à la spécificité de la menace. Infiltrer les forums criminels du darkweb est extrêmement difficile, et requiert énormément de moyens, de savoir-faire et de technologie. Les opérations menées s'en trouvent parfois couronnées de succès, mais cela ne signifie pas que nous en sortions mieux protégés. Les cybercriminels savent se réinventer très vite, développant d'autres techniques pour tromper leurs victimes ; la seule vraie parade reste la sensibilisation, la prévention et la formation".