Les hackers ont de l’imagination, c’est bien connu. Et pour séduire de nouvelles recrues, ils font aujourd’hui appel au jeu. Un groupe de cyberattaquants turcs qui attire des hackers à se joindre à une plateforme DDoS pour attaquer des sites politiques en est un nouveau et bon exemple. A gagner par les concurrents en lice : des points qui peuvent être échangés contre des outils de piratage.
Un groupe de hackers Turcs a mis en place une plateforme lui permettant de recruter des hackers au travers d’un jeu et d’une compétition. La plateforme invite les participants à lancer des attaques DDoS ciblant une liste de sites web prédéfinis au nombre de 24 – des sites politiques pour la plupart (kurdes, arméniens, allemands, israéliens…), mais les challengers peuvent également proposer de nouveaux sites Web à ajouter à la liste des cibles. En échange de leur participation, les joueurs reçoivent des points qu’ils peuvent échanger contre des outils de piratage et l’accès à la plateforme DDoS du groupe.
Ce sont les chercheurs du Security Labs de Forcepoint (voir leur étude) qui ont fait cette découverte et l’ont analysée. Sans nous attarder sur les motivations politiques de ce groupe de hackers, comment fonctionne la plateforme ? Dix minutes passées à attaquer l’un des sites Web désignés par la plateforme, appelée Surface Defense, et voilà les compétiteurs attribués de points qui peuvent ensuite être échangés pour des récompenses, comme une version autonome de l’outil DDoS appelé Balyoz en turc (traduit « Sledgehammer ») – une version qui permet aux utilisateurs d’attaquer un site web de leur choix plutôt que d’être limités à ceux de la liste de la plateforme – et des robots de «click-fraud» utilisés pour générer des revenus sur les sites de pay-to-click. Un tableau de bord permet même aux participants de consulter en direct leur position parmi les challengers.
Vincent Lavergne, expert attaques DDoS chez F5 Networks et membre du Comité de Pilotage et du Cercle des Assises de la Sécurité 2017, explique que « pour composer son réseau de machines sources, plusieurs techniques sont utilisées par les hackers. Anonymous a longtemps fonctionné sur un modèle de participation volontaire en se basant sur la motivation « politique » / activiste, et donc non rémunérée ». Avant d’indiquer que dans le cas de ces hackers turques, « le groupe de pirates vise un enrôlement volontaire des participants – invitation sur des forums – et les rétribue avec une sorte de programme de fidélité pour hackers (argent ou outils dédiés leur permettant de créer leur propres attaques).»
Participer à un DDoS et gagner des bitcoins
La « gamification » est exploitée dans de nombreux domaines, mais cela est nouveau dans le domaine des cyberattaques. Ce qui ne surprend pas vraiment Vincent Lavergne : « Le cybercrime étant devenu un business à la demande, il n’est pas étonnant que les hackers s’organisent et commencent à partager les gains de ce service lucratif tout en recrutant de nouveaux hackers. » Il indique d’ailleurs que des chercheurs américains avaient présentés cette année un « business model » similaire où les utilisateurs étaient rémunérés pour avoir participé à des attaques DDoS.
Leur proof of concept est basé sur un détournement de l’exploitation de la puissance de calcul des utilisateurs de Bitcoin. DDoS-Coin, développé par Eric Wustrow et Benjamin VanderSloot de l’Université du Colorado Boulder et de l’Université du Michigan, est un concept de crypto-monnaie théorique qui récompense un mineur pour l’ouverture d’un grand nombre de connexions TLS ciblant des serveurs Web cibles. La monnaie numérique malveillante ne peut être exploitée que si les mineurs participent à des attaques DDoS contre des sites ciblés présélectionnées…