Actualités de la sécurité

Hacktivisme DDoS : Un exercice très risqué

Il est difficile de garantir votre sécurité tout en utilisant ces outils, et en participant à ces actions, vous mettez votre vie privée en danger.

L'invasion de l'Ukraine par la Russie a suscité une grande empathie de la part des gens du monde entier. Certains ont contribué en fournissant de l'aide et un abri aux réfugiés, tandis que d'autres ont fait des dons à des organisations caritatives soutenant les Ukrainiens.

D'autres ont adopté une approche différente : le piratage des ordinateurs russes. Ces communautés d'hacktivistes se sont rassemblées à divers endroits - un canal Telegram appelé IT ARMY of Ukraine, un subreddit dédié et le célèbre réseau Anonops - et ont commencé à développer des outils pour aider leur cause.

L'une des catégories de ces outils concerne les sites web qui participent aux attaques DDoS contre les serveurs russes. Beaucoup de gens connaissent peut-être déjà le site original, hxxps://stop-russian-desinformation.near[.]page.

Ce site a inspiré au moins une demi-douzaine de clones ou de variations supplémentaires, allant de simples modifications du design à des idées plutôt ingénieuses, comme le populaire jeu 2048 qui participe également au DDoS en arrière-plan.



Une capture d'écran du code avec les sites web ciblés


Comment ces sites Web fonctionnent-ils ?

Pour faire simple, ces sites contiennent une liste de serveurs, ainsi que des compteurs permettant de suivre le nombre de requêtes effectuées, et un code JavaScript qui envoie des requêtes répétées aux serveurs de la liste. Les listes contiennent principalement des services russes et bélarussiens qui vont du gouvernement, des banques et des médias aux groupes de musique et à diverses entreprises russes. Parmi les sites web les plus connus, nous avons observé les pages suivantes :

  • hxxps://1tv.ru : Une grande chaîne de télévision russe
  • hxxps://sberbank.ru : La plus grande banque russe
  • hxxps://belta.by : Agence de presse nationale de la République du Bélarus, détenue par l'État
  • hxxps://fsb.ru : le service fédéral de sécurité de la Fédération de Russie.

Si les listes diffèrent souvent (soit en fonction des préférences personnelles des créateurs de listes, soit en intégrant des astuces provenant de Telegram, par exemple), il est intéressant de constater que le code sous-jacent est généralement le même. Cela soulève une question : Ces efforts valent-ils un tel risque ?



Play For Ukraine, une variante de DDoSing du jeu 2048

La méthode actuelle, qui consiste à utiliser JavaScript dans le navigateur pour générer du trafic réseau, est plutôt inefficace. D'autres considérations devraient vous inquiéter : dans l'Union européenne, une telle utilisation d'un ordinateur est généralement illégale et, même s'il n'y a pas de répercussion immédiate, elle pourrait revenir plus tard (et la Russie n'est peut-être pas la seule à s'en servir contre vous).

En outre, de nombreux serveurs en Russie - même ceux qui ne sont pas associés au gouvernement (nous avons vu un miroir de dépôt pour diverses distributions Linux) - ont déjà mis en œuvre le géoblocage. En d'autres termes, ces serveurs rejettent purement et simplement ou limitent les requêtes provenant d'adresses IP non russes. Rostelecom, le plus grand fournisseur de services numériques de Russie, a cessé de publier les préfixes publics de l'infrastructure de l'administration électronique (AS196747) dans le protocole BGP (Border Gateway Protocol) en dehors de la Russie, limitant de fait leur trafic entrant aux adresses IP russes des institutions gouvernementales.

Visiteurs des sites web de DDoSing

Il est important de préciser qu'en visitant de telles pages, l'utilisateur s'engage immédiatement à participer à une activité illégale (DDoS). Ce comportement dangereux se produit sans le consentement explicite du visiteur du site Web, car le JavaScript malveillant commence à attaquer dès qu'il est chargé.

En outre, l'utilisateur se voit attribuer une liste fixe de cibles, établie en fonction des préférences des créateurs de la page. Cela conduit à des situations dans lesquelles les hacktivistes attaquent de manière inattendue des cibles telles qu'une société minière ukrainienne (hxxps://ugmk.ua) ou plus de 7 000 cibles de la page hxxps://kuzelovi[.]cz/FuckPutin.html, y compris les miroirs du dépôt Fedora, qui est hébergée par un groupe de médias russe, ou les pages de la branche russe de la banque européenne UniCredit. Attaquer des cibles qui ont été sélectionnées par quelqu'un d'autre signifie également que les cibles individuelles peuvent être remplacées silencieusement sans grand préavis. C'est pourquoi notre équipe a décidé de ne pas considérer ces sites Web comme des outils de piratage, mais de les classer parmi les logiciels malveillants.

On peut dire la même chose de divers scripts Python ou en ligne de commande qui visent à obtenir des résultats similaires. Pour des raisons de commodité, beaucoup d'entre eux fournissent des images Docker ; néanmoins, leur intérieur est fondamentalement le même : il s'agit soit de scripts simplistes envoyant des signaux aux serveurs ciblés, soit de variantes d'outils de test de stress en libre accès. Nous avons vu plusieurs projets GitHub envelopper des outils plus anciens dans Docker par commodité, certains d'entre eux ayant déjà près d'une centaine de forks.

Bien qu'il y ait quelques différences avec les pages Web DDoS prêtes à l'emploi - vous devez l'exécuter et fournir des cibles par vous-même - tout ce que nous avons décrit reste valable. Dans les fichiers README, l'intention est claire, au lieu d'une marche habituelle sur la corde raide en se profilant comme des outils de test de stress. Ces outils peuvent également devenir des cibles de contre-opérations en utilisant leur code et en les regroupant avec du code malveillant, ce qui peut être facile à manquer, car certains de ces outils sont déjà obfusqués.

Malheureusement, les utilisateurs de ces sites et outils ne sont pas les seuls à être potentiellement exposés au danger. Bon nombre de ces pages et outils ont été publiés sur GitHub par des développeurs ou des collaborateurs utilisant leurs comptes privés ou professionnels. Par conséquent, la majorité de ces activités malveillantes pourraient facilement être remontées jusqu'à eux à l'avenir par les employeurs, la police, ou peut-être même par des pirates cherchant à se venger.

Pour conclure, nous aimerions récapituler les principaux enseignements des recherches de notre équipe et donner quelques conseils pour rester en sécurité :

  • Nous décourageons tout le monde de s'engager dans ces initiatives.
  • La réalisation d'attaques DDoS est illégale.
  • Il est difficile de garantir votre sécurité en utilisant de tels outils, et en participant à ces actions, vous risquez de compromettre votre vie privée.
  • En utilisant ces outils, vous pourriez causer des dommages collatéraux contre-productifs, surtout si vous ne comprenez pas ce que vous faites en les utilisant.
  • Historiquement, des outils similaires ont été utilisés de manière abusive par divers acteurs qui ont profité de leur popularité pour commencer à distribuer leurs propres variantes, y compris des logiciels malveillants.