Une vague de cyberattaques par déni de service (DDOS) a touché plusieurs pays européens, dont la Belgique, sans faire de dégâts notables jusqu’ici. Ces attaques font suite à l’opération Eastwood, lancée mi-juillet par Europol, laquelle a conduit à des arrestations au sein du groupe de piratage pro-russe NoName057(16).
«Salut la Tchéquie!», se sont réjouis, ce vendredi sur la messagerie Telegram, ServerKillers et son associé NoName057(16), deux réseaux de pirates informatiques affiliés à la Russie.
Sur leurs canaux, ces derniers affichent fièrement une série d’articles parus dans la presse tchèque du jour, lesquels mentionnent la vague de cyberattaques informatiques qu’a récemment subie le pays. L’opération, de type DDOS (qui vise à surcharger des serveurs pour mettre un site hors-ligne), avait visé la veille divers sites gouvernementaux, dont le ministère de l’Intérieur, ce qui a causé des perturbations mineures.
La Tchéquie n’est pas seule à avoir subi ce type de cyberattaque ces derniers jours. Le Canada, l’Allemagne, l’Espagne, mais aussi la Belgique –où certains sites d’institutions publiques ont été visés– ont eu droit à leur moment DDOS de la part de ces groupes. C’est loin d’être inhabituel dans le contexte de la guerre hybride menée par la Russie sur le sol européen, à ceci près que cette fois, il s’agissait de répondre à une opération d’envergure menée quelques jours plus tôt par les services de police européens. Une opération qui semble avoir fait plus de dégâts que les pirates ne veulent l’admettre…
Opération Eastwood
C’est entre le 14 et le 17 juillet dernier qu’Europol et Eurojust ont coordonné, avec plusieurs services de police européens mais aussi le FBI américain, l’opération internationale Eastwood contre le réseau de cybercriminalité NoName057(16), l’un des principaux groupes de piratage informatique affiliés à la Russie dans le contexte de la guerre menée contre l’Ukraine et l’UE. Un groupe «perturbateur», en particulier lors de périodes électorales, et qui avait d’ailleurs visé la Belgique à ce moment-là par le passé.
L’opération Eastwood n’aura donc pas permis de démanteler complètement NoName et ses acolytes, mais semble avoir considérablement affaibli le réseau. «L’infrastructure d’attaque composée de plus d’une centaine de systèmes informatiques à travers le monde», a été identifiée et perturbée, affirme Europol, «tandis qu’une grande partie de l’infrastructure du serveur central du groupe a été mise hors ligne. L’Allemagne a émis six mandats d’arrêt à l’encontre de personnes résidant dans la Fédération de Russie. Deux d’entre elles sont accusées d’être les principaux instigateurs des activités de NoName057(16). Au total, les autorités nationales ont émis sept mandats d’arrêt, visant notamment six ressortissants russes impliqués dans les activités criminelles du groupe NoName057(16). Tous les suspects font l’objet de recherches internationales.» Enfin, deux arrestations ont eu lieu en France et en Espagne.
Recrutement à bas coût
Plus fâcheux encore pour NoName, l’opération Eastwood a manifestement permis d’identifier le schéma de recrutement qui a permis l’enrôlement de «plusieurs centaines de personnes soupçonnées d’être des sympathisants du réseau de cybercriminalité», toujours selon Europol. Qui n’a pas tardé à les identifier, et à s’adresser directement à eux via «des messages, diffusés via une application de messagerie populaire», informant «les destinataires des mesures officielles prises à leur encontre, en soulignant leur responsabilité pénale au regard des législations nationales.»
«Les volontaires invitaient souvent des amis ou des contacts issus de forums de jeux vidéo ou de piratage, formant ainsi de petits cercles de recrutement.»
Manifestement, la manœuvre a fait mouche. Le 15 juillet, NoName prévenait son audience sur Telegram dans un message teinté de panique, les invitant à basculer sur le réseau social X en cas de disparition du canal. «Les amis, si vous avez reçu (…) des messages suspects, ne les prenez pas au sérieux. Il ne s’agit que d’une nouvelle manigance des services de renseignement occidentaux (…) Ne parlez à personne qui prétendrait être nous!», concluait le groupe, relayé par ses soutiens ServerKillers ou Z-Alliance, toujours sur Telegram.
«Les individus agissant pour le compte de NoName057(16) sont principalement des sympathisants russophones qui utilisent des outils automatisés pour mener des attaques par déni de service distribué (DDOS). Opérant sans direction formelle ni compétences techniques avancées, ils sont motivés par l’idéologie et des récompenses», a commenté Europol à la fin de l’opération, pointant des «canaux pro-russes, des forums, et même des groupes de discussion spécialisés sur les réseaux sociaux et les applications de messagerie» comme autant de plateformes de recrutement pour ces pirates «low-cost»; une constante dans la guerre hybride que mène la Russie en Europe.
Impact minimal en Belgique
«Les volontaires invitaient souvent des amis ou des contacts issus de forums de jeux vidéo ou de piratage, formant ainsi de petits cercles de recrutement. Ces acteurs utilisaient des plateformes comme DDoSia pour simplifier les aspects techniques et fournir des instructions, permettant ainsi aux nouvelles recrues d’être rapidement opérationnelles», témoigne ainsi Europol, de concert avec la douzaine de pays ayant soutenu ou participé à l’opération Eastwood.
Côté belge, si le pays n’a pas directement participé, son implication en tant que «support» a conduit NoName à cibler diverses institutions, y compris gouvernementales, en rétorsion à l’opération Eastwood. Interrogé, le Centre pour la cybersécurité belge (CCB) assure qu’il avait anticipé en amont ces représailles, et prévenu les organisations et institutions ciblées pour minimiser les perturbations –pratiquement passées inaperçues jusqu’ici.
