Les groupes hacktivistes qui opèrent pour des motifs politiques ou idéologiques utilisent un large éventail de méthodes de financement pour soutenir leurs opérations.
La société israélienne de cyber-renseignement KELA note que bien que le hacktivisme semble consister à perturber le service par des attaques DDoS ou à nuire à la réputation via des fuites de données, le modus operandi de ces groupes de menaces englobe un plus large éventail d’activités, y compris des tactiques courantes de cybercriminalité.
Ces tactiques incluent le vol et la vente de données, la vente de logiciels malveillants et de licences de botnet, la demande de rançon aux victimes ou même l’offre de services de piratage pour compte d’autrui destinés à des cibles sans importance politique.
Au-delà des dons
En commençant par le groupe pro-russe Killnet, KELA affirme que les hacktivistes ont promu un botnet à louer en novembre 2021, mais leurs méthodes de monétisation se sont considérablement développées en 2023.
Killnet a mis en place un service de hack-for-hire en mars 2023, a annoncé un nouveau service DDoS-for-hire en juillet 2023 et a lancé un programme de formation « Dark School » vendant neuf cours de piratage aux pirates intéressés en mai 2023.
Toujours en mai, alors que les abonnés du groupe augmentaient sur Telegram, Killnet a annoncé une plate-forme d’échange de crypto-monnaie qui facturait un taux de service compris entre 3 et 4 %.
Entre novembre 2022 et avril 2023, Killnet a été observé en train de tenter de vendre des journaux, des données et un accès aux réseaux sur leurs chaînes Telegram et le forum Infinity, qui appartient et est exploité par le groupe et propose également des publicités.
Enfin, Killnet a tenté d’extorquer aux victimes de payer une rançon pour arrêter les attaques DDoS ou supprimer des données volées, comme dans le cas de RuTor en août 2022, BlackSprut en novembre 2022, le gouvernement letton en novembre 2022 et l’OTAN en avril 2023.
Anonymous Russia, un autre groupe hacktiviste pro-Kremlin, a également déployé des activités de monétisation au-delà des attaques DDoS à motivation politique ciblant les pays européens.
En avril 2023, le groupe est passé de la demande de dons au lancement de services payants comme le malware botnet Tesla annoncé sur la chaîne Telegram du groupe.
En mai 2023, Anonymous Russia a annoncé le lancement d’un nouveau service DDoS pour cibler les sites Tor, visant clairement les clients de l’espace du dark web.
Vient ensuite Phoenix, également un groupe DDoS pro-russe qui s’est initialement lancé en tant que sous-équipe de Legion et qui a rapidement adopté des méthodes de monétisation alternatives comme la vente de données volées sur Telegram à partir de mars 2023.
Les victimes présumées de Phoenix qui ont été ouvertement extorquées sur la chaîne Telegram du groupe comprennent le cabinet d’avocats Michele Bonetti et la société de télécommunications Cellular Pacific.
Le chef du groupe a également déclaré qu’il offrait en privé des services DDoS à louer, tandis qu’il dispensait des cours de formation de pirates personnels via Telegram moyennant des frais pouvant atteindre 2 675 $.
En avril 2023, Phoenix a annoncé qu’elle commencerait à diffuser ses attaques en streaming vidéo et audio, permettant au plus offrant d’accéder au flux en direct.
Anonymous Sudan, un groupe hacktiviste qui a émergé en janvier 2023 et a documenté des liens avec Killnet, vend également des données volées sur sa chaîne Telegram, selon KELA.
En mars 2023, le groupe a tenté de vendre ce qu’il prétendait être des données volées à Air France pour 3 000 dollars, alors qu’il exigeait un paiement de 3 500 dollars de Scandinavian Airlines (SAS) pour stopper les attaques.
En juin 2023, Anonymous Sudan a annoncé avoir attaqué Microsoft et exigé un paiement de 1 000 000 $ pour arrêter les attaques DDoS qui paralysaient les services de l’entreprise.
En juillet 2023, ils ont annoncé la vente d’une base de données censée contenir les données de 30 millions de comptes Microsoft pour 50 000 $.
Arvin Club est un groupe hacktiviste qui lutte contre le régime iranien en lançant des attaques DDoS contre des ministères et des organisations gouvernementales, actif depuis 2019.
En avril 2023, le groupe a lancé une chaîne Telegram privée par abonnement (49 $) pour vendre les données volées lors de leurs attaques, les derniers exploits et vulnérabilités, et plus encore.
Enfin, le rapport de KELA met en lumière le groupe hacktiviste pro-russe Passion, qui a émergé en décembre 2022 en utilisant son propre botnet pour attaquer les organisations ukrainiennes.
Quelques jours seulement après le lancement du groupe, ce botnet a été proposé à la vente à partir de 30 $/semaine, tandis que la dernière version également disponible à l’achat a été annoncée en mars 2023.
Ne pas être traité à la légère
KELA pense que ces groupes hacktivistes monétisent leurs opérations principalement pour rester actifs et continuer à lancer de puissantes attaques contre leur cible. Cependant, quel que soit leur financement, cela ne les rend pas moins dangereux pour les internautes et les organisations.
Par exemple, début juin, Microsoft a subi plusieurs pannes contre le portail Web d’Azure, Microsoft OneDrive et Microsoft Outlook.
Alors que Anonymous Sudan revendiquait le mérite des attaques au cours de cette période, ce n’est que dix jours plus tard que Microsoft a finalement admis que leurs services avaient été interrompus par des attaques DDoS, illustrant le potentiel dommageable des groupes hacktivistes.
Les conséquences du vol de données et l’exposition d’informations sensibles restent importantes, qu’il s’agisse d’objectifs principaux ou secondaires.
Alors que certains chercheurs considèrent ces groupes hacktivistes comme des acteurs de menace de bas niveau en raison de leur potentiel de dommages et de perturbation des activités, il peut être plus sage de les considérer de la même manière que les cybercriminels ordinaires.