Ce groupe de hackers mercenaires est embauché pour des tâches allant de l’espionnage industriel aux manœuvres d’intimidations. Depuis 2017, il a visé, souvent avec succès, des milliers d’organisations et d’individus : des patrons, des journalistes, des ONG, des fonds d’investissement ou encore des personnalités politiques. Les pirates d’élite ont frappé sur tous les continents et dans presque tous les secteurs.
Ce groupe a désormais un nom ; Dark Basin. Le Citizen Lab, laboratoire canadien de pointe en cybersécurité, l’a nommé ainsi après avoir identifié et délimité son activité, dans un rapport rendu public ce mardi 9 juin. Les chercheurs suspectent fortement une entreprise tech indienne, BellTroX, d’être derrière ce groupe de mercenaire. Leur site a été suspendu après la parution de l’étude. Quant aux commanditaires des missions, ils s’avèrent bien plus difficiles à identifier, et le Citizen Lab ne donne aucun nom.
Les commanditaires donnent des informations sur les cibles
Les chercheurs ont démarré leur enquête en 2017, après qu’un journaliste les a contactés, car il était la cible de tentative de phishing ciblé par mails. L’équipe du Citizen Lab a trouvé ici un premier bout de ficelle sur lequel tirer pour remonter au groupe de hacker : tous les emails utilisaient un réducteur d’URL très peu répandu. Ces outils — comme bit.ly — permettent de réduire la taille d’un lien vers une adresse web. Pour les cybercriminels, c’est un bon moyen pour cacher l’adresse sur laquelle ils souhaitent envoyer leur cible, qui contient le plus souvent des formulaires frauduleux pour voler les données.
Dark Basin opérait ses propres outils, et était le seul à les utiliser : le Citizen Lab a identifié près de 28 000 liens, édités grâce à 28 services différents .L’équipe de chercheur a pensé qu’ils pouvaient être soutenus par un État — comme de nombreux groupes dangereux –, mais la diversité des opérations menées par les hackers les a amené sur un autre chemin. « Les cibles de Dark Basin n’étaient souvent que d’un seul côté d’une procédure judiciaire contestée, d’un débat militant ou d’un accord commercial », relèvent-ils. Ils en ont conclu qu’ils étaient probablement embauchés des organisations diverses.
Pour arriver à leurs fins, les hackers de Dark Basin envoient des messages de phishing dans lesquels ils font preuve de créativité. Parmi l’arsenal observé par les chercheurs se trouvent des abus d’identité, de fausses alertes Google News ou encore des messages privés Twitter. Les pirates utilisent à la fois des campagnes massives et des tentatives personnalisées. Le Citizen Lab soupçonne les commanditaires des piratages d’alimenter ces dernières : « Le choix des cibles de Dark Basin montre un savoir approfondi sur la hiérarchie informelle des organisations. Une partie de ce savoir est très difficile à obtenir à partir d’une enquête menée uniquement sur des données accessibles publiquement. » Les mercenaires savent non seulement qui viser, mais aussi quelles techniques pourraient fonctionner le mieux sur leurs cibles.
Entreprise louche vend services de « hackers éthiques certifiés »
Rapidement, les ficelles tirées par les chercheurs remontent à BellTroX, une entreprise indienne. BellTroX ne présente pas ses services de cyberespionnage comme tels, mais elle les cache derrière une couverture grossière. L’entreprise propose des services de « hacking éthique » menés par des « hackers éthiques certifiés » (sans préciser de nom de certification). Et un slogan adressé aux clients : « Vous désirez, nous agissons ! ». Cette devanture publique inquiète les chercheurs : « Cette pratique laisse entendre que les entreprises et leurs clients ne s’attendent pas à subir de conséquences juridiques et que le recours à des sociétés de piratage à la demande peut être une pratique courante dans le secteur des enquêtes privées. »
Le Citizen Lab a pu remonter à l’entreprise grâce aux traces grossières laissées par les employés de l’entreprise. Certains utilisaient leurs documents personnels — dont des CV — comme hameçon pour leur phishing. D’autres se vantaient de leurs techniques d’attaques sur les réseaux sociaux, captures d’écran à l’appui. Cerise sur le gâteau, plusieurs d’entre eux ont un compte LinkedIn, sur lequel ils mettent en avant leurs compétences en hacking : « espionnage industriel », « pénétration d’email », ou encore « Direction d’opérations de cyberespionnage ».
Hackers mercenaires, un fléau en devenir ?
Leur travail est d’ailleurs recommandé par toute une liste d’organisations : des officiers de police, des détectives privés ou encore un haut fonctionnaire canadien. « Une recommandation LinkedIn ne prouve pas qu’un individu a passé un contrat avec BellTroX pour le piratage ou toute autre activité. Cependant, cela soulève des questions quant à la nature de la relation entre les deux partis » met en garde le Citizen Lab. Quant au directeur de BellTroX, Sumit Gupta, il a été inculpé (sans suite) en Californie en 2015 pour son rôle… dans un réseau de hackers mercenaires.
Grâce à cette révélation, le Citizen Lab espère récupérer de nouveaux témoignages de victimes. Mais surtout, il veut pointer vers ce danger nouveau des mercenaires hackers, symptôme d’une évolution néfaste du monde de l’investigation privée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !