Cyberguerre moderne : attaques DDoS participatives

Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc « BLOG » à l'intérieur. En dessous, il y a le texte blanc : "Cyberguerre moderne : attaques DDoS participatives". Il y a un texte blanc en dessous qui dit « En savoir plus » avec une flèche orange clair pointant vers le bas.

Au cours des dernières années, les acteurs de la menace politiquement motivés ont de plus en plus recours à Internet pour trouver des alliés pour leurs causes. Alors qu’il y a dix ans, la plupart des hactivismes de ce type étaient anonymes, les acteurs modernes favorisant certains éléments politiques ou certains gouvernements exploitent un écosystème plus large. Étant donné que les attaques par déni de service distribué (DDoS) nécessitent peu de compétences techniques, elles offrent une faible barrière à l'entrée pour les personnes souhaitant aider une cause, même si elles se trouvent en dehors de la région géographique touchée. 

À mesure que le paysage géopolitique continue d’évoluer, comprendre comment les groupes externalisent les attaques DDoS pour accroître leur impact permet aux organisations de se protéger plus efficacement. 

Pour en savoir plus, consultez notre rapport complet Attaques DDoS participatives au milieu d'événements géopolitiques ou continuez à lire pour les faits saillants.

Qu'est-ce qu'une attaque par déni de service distribué (DDoS) ?

Lors d’une attaque DDoS, les acteurs malveillants inondent un serveur cible d’un trafic Internet excessif. En réponse, le serveur est incapable d'envoyer des réponses, ce qui signifie que l'application ou le réseau ne fonctionne plus comme prévu. 

Bien que ces attaques ne soient ni sophistiquées ni nouvelles, elles ont un impact plus important sur les entreprises et les clients dans un monde transformé numériquement. Aujourd’hui, une attaque DDoS peut tout détruire, depuis les portails des patients et des médecins jusqu’aux services gouvernementaux. De plus en plus, les gouvernements reconnaissent l’impact de ces attaques, comme en témoigne le fait que le gouvernement letton ait désigné le groupe « Killnet » comme organisation terroriste.

Voici quelques exemples récents qui montrent l’impact que les attaques DDoS peuvent avoir sur les services critiques :

  • 5000 XNUMX services gouvernementaux kenyans hors ligne pendant une semaine, y compris les systèmes de renouvellement de passeport et de réservation de trains
  • L'Agence des services frontaliers du Canada connaît des retards physiques aux points de contrôle
  • Microsoft Outlook et Azure seront hors ligne en juin 2023

Ce que signifie « Crowdsourcer une DDoS »

Les groupes hacktivistes utilisent forums Web sombre et public Chaînes de télégramme pour trouver des personnes sympathiques à leur cause, de la même manière que les citoyens moyens utilisent une plateforme comme GoFundMe. En rendant publics leurs besoins, les hacktivistes peuvent inciter d'autres personnes à partager leurs outils d'attaque, ce qui leur permet d'étendre l'ampleur d'une attaque en attirant davantage d'utilisateurs. Avec davantage d’appareils envoyant des requêtes à une adresse IP, un serveur ou un site Web cible, l’attaque DDoS aura plus de succès. 

En partageant leurs cibles et leurs numéros de port respectifs, les groupes hacktivistes peuvent orchestrer des attaques importantes contre des domaines importants, car les outils DDoS ont une barrière d'entrée plus faible pour les personnes ayant moins d'expérience technologique. Même si infecter suffisamment d’appareils pour créer un botnet nécessite des ressources pour développer un malware, le crowdsourcing élimine ce coût. Avec quelques volontaires partageant la même idéologie politique, un groupe partage un outil d'attaque et s'engage dans une coordination lâche entre quelques milliers de volontaires, leur permettant de déployer une attaque DDoS à grande échelle. 

L’essor de Telegram élimine le besoin de disposer de compétences spécialisées pour accéder au dark web. Les groupes hacktivistes créent des chaînes Telegram qui offrent aux personnes partageant les mêmes idées un moyen simple de les rejoindre. Ces chaînes partagent généralement les résultats des attaques avec un flux en direct de captures d'écran montrant :

  • Indisponibilité du site Web 
  • Erreurs 502
  • Mauvaises passerelles
  • Erreurs 429

Bien que la création d'un forum Web sombre prenne du temps et que l'accès à un forum nécessite des compétences uniques, Telegram offre les avantages suivants :

  • Capacités de messagerie instantanée, y compris les emojis 
  • Création et suppression faciles de chaînes
  • Possibilité de cliquer sur « j’aime » ou « partager » pour faciliter la diffusion des images
  • Modération inefficace permettant aux groupes de rester en ligne sans que personne ne détecte ou n'efface les chaînes ou les comptes

Nous avons identifié trois catégories de victimes dans nos recherches :

  • Ministères gouvernementaux: site Web de premier plan de haut niveau représentant les gouvernements et organismes officiels
  • Des passants innocents: organisations liées au pays mais non impliquées dans le conflit, comme les hôpitaux, les écoles, les organisations de vente au détail, les banques
  • Régions géographiques sympathiques: cibler les entreprises après que leur pays d'origine a annoncé qu'il fournirait une aide à un membre du conflit

DDoS en crowdsourcing dans le monde réel

Les créateurs d'outils utilisent des logiciels open source et rendent les outils accessibles au public, donnant ainsi aux chercheurs un aperçu du fonctionnement de la technologie. De plus, la nature open source permet aux acteurs malveillants de copier/coller plus facilement des modèles de travail connus afin de pouvoir déployer plus rapidement leurs propres modèles. 

Au cours des dernières années, certains groupes hacktivistes ont commencé à marchandiser et à monétiser leurs activités pour étendre leur portée au-delà des personnes alignées sur leurs philosophies politiques et attirer ceux qui veulent de l’argent rapidement. 

Armée informatique d'Ukraine

La première explosion d'attaques DDoS participatives a commencé avec l'invasion de l'Ukraine par la Russie début 2022. Deux jours après l'invasion initiale, l'armée informatique d'Ukraine, un collectif composé de bénévoles, est passée à l'action et a trouvé le soutien du gouvernement officiel du pays et des ministres. de la technologie publiant un tweet invitant les gens à rejoindre la chaîne Telegram. Ciblant les principaux actifs numériques russes et biélorusses, le groupe a créé plusieurs outils destinés à paralyser les économies agressives, notamment :

  • MHDDoS : interface « conviviale » qui télécharge et sélectionne automatiquement les proxys fonctionnels plutôt que de nécessiter un VPN
  • DB1000N (« Mort par 1000 aiguilles »): Outil basé sur Go 
  • Détresse: Outil basé sur Rust 
  • ADSS (Démarreur automatique du serveur DDoS): script shell pour Linux qui automatise la mise à jour automatique, détermine la version du système d'exploitation, installe les outils DDoD et le pare-feu et configure le démarrage automatique lors du démarrage de Linux
  • UKITA (installateur de l'armée informatique ukrainienne) : suite tout-en-un pour Windows
  • Bouclier U : Outil DDoS avec un classement personnalisé pour encourager la participation des bénévoles
Automate Your Threat Exposure Management

Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

L'armée informatique d'Ukraine crée également des « classements » qui font appel au caractère compétitif des utilisateurs.

Sans Nom057(16)

Lancé en mars 2022, ce groupe pro-russe propose un outil multiplateforme personnalisé nommé « DDoSia » pour un crowdsourcing d'attaques simplifiées ciblant des entités américaines et européennes, comme : 

  • Sites gouvernementaux
  • Banques
  • Organisations de santé
  • Écoles
  • Administrations municipales

NoName057(16) s'appuie sur le modèle du classement pour inclure une compensation monétaire à l'aide de portefeuilles de crypto-monnaie attachés à l'adresse Telegram de l'utilisateur afin qu'il puisse recevoir un paiement hebdomadaire lié à son impact proportionnel. 

CyberArmée de Palestine 

Lancée le 14 octobre 2023, la Cyber ​​Armée de Palestine s'engage principalement dans des campagnes DDoS anti-israéliennes en utilisant une version recyclée de l'outil UAShield de l'Armée informatique d'Ukraine. Politiquement aligné sur le Hamas, le logo et les infographies du groupe utilisent « Tufan al-Aqsa », qui se traduit par Al Aqsa Flood, le surnom utilisé pour l'attaque du 7 octobre contre Israël. 

La chaîne Telegram a engagé des administrateurs et des bénévoles pour répondre aux questions et partager des images politiques. Son outil extrait dynamiquement les cibles à des moments d'attaque coordonnés, il suffit donc aux utilisateurs de lancer l'outil et de le faire fonctionner en arrière-plan. Les administrateurs du groupe poussent les cibles vers l'outil afin que l'attaque démarre automatiquement. 

Le groupe utilise un système de classement sur le thème du Hamas qui encourage la participation en reliant les contributions DDoS réussies connectées aux requêtes HTTP GET envoyées aux rangs des personnalités clés du Hamaz. L'échelle classe les utilisateurs de 0 à 24, avec des niveaux qui incluent :

  • Rang 12: Yahya Ayyash, faiseur de bombes assassiné en 1996
  • Rang 17: Mahmoud al-Mabhouh, commandant militaire assassiné à Dubaï en 2010
  • Rang 23: Cheikh Ahmed Ismail Hassan Yassin, fondateur du Hamas et chef spirituel assassiné lors d'une frappe aérienne en 2004
  • Rang 24: Izz ad-Din al-Qassam, leader nationaliste et militant islamique des années 1930, après qui le Hamas a nommé son aile militante

La Cyber ​​Armée de Palestine est le premier groupe hacktiviste qui associe activement ses capacités d’attaque DDoS à un groupe géopolitique spécifique. 

Atténuation

Pour se protéger, les organisations ont besoin d’une approche de défense en profondeur qui inclut la technologie et l’information. 

Réseau de diffusion de contenu (CDN)

Un CDN peut distribuer le trafic entrant pour diluer l'impact d'une attaque. En masquant la véritable adresse IP du serveur, le CDN rend plus difficile l'exécution d'une attaque directe de couche 4. 

Les pare-feu

Les organisations peuvent choisir diverses options dans leurs CDN et pare-feu pour atténuer les risques, notamment :

  • Définir une limite de débit pour envoyer une requête par minute
  • Utilisez le score IP pour voir les connexions des VPN
  • Utilisez le blocage géographique pour atténuer les risques de trafic entrant, en particulier pour les organisations qui se concentrent sur leurs communautés locales, comme les hôpitaux ou les districts scolaires publics.

Renseignement sur les cybermenaces

La surveillance proactive des communications des forums en ligne et des acteurs malveillants fournit des informations sur les attaques potentielles ciblant l'organisation. Un outil de renseignement sur les menaces peut :

  • Fournissez des alertes automatisées lorsque des acteurs malveillants mentionnent le domaine de l'entreprise sur le dark web ou dans les canaux Telegram
  • Identifiez quand les hacktivistes mentionnent les adresses IP ou le nom d'une entreprise
  • Donner un avertissement avancé puisque les attaques participatives concernent une date future spécifique

Grâce à une plateforme de renseignement sur les menaces, les entreprises peuvent se préparer et atténuer les risques liés aux volumes élevés de trafic HTTP générés par les attaques DDoS. 

Comment Flare peut aider

La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. 

Apprenez-en davantage en vous inscrivant à notre essai gratuit.

Partagez cet article

Contenu similaire