Des groupes de voyous sur internet bien connus
Plusieurs groupes de hackers sont identifiés sur la planète. Leurs objectifs sont souvent crapuleux mais on trouve également des activistes politiques. La Chine, la Russie et les Etats Unis sont bien représentés. Quand on recherche les têtes pensantes derrière les outils d'attaque les plus nocifs, on s'accorde à dire qu'elles sont aux Etats Unis, dans les pays de l'Est ou en Chine. On retrouve dans chacun de ces pays des groupes hiérarchisés. Ils vendent un outil ou un service malveillant et retournent la responsabilité de l'acte sur l'acheteur. Pour eux, c'est un commerce comme un autre. Au fil des années, certains groupes se sont construit leur petite renommée. On citera Le Cult of the Dead Cow, le Russian Business Network, le NCPH (Network Crack Program Hacker) ou la Honker Union of China. Un réseau d'activistes Le Cult of the Dead Cow a été fondé en 1984 à Lubbock (Texas). En 1998-1999, ses membres diffusaient Back Orifice, un outil furtif d'administration à distance qui sera utilisé par de nombreux hackers ou administrateurs de réseau. Proposant régulièrement de nouveaux gadgets, ils ont distribué en février 2008, GoolagScan. Ce dernier né permet d'automatiser la vérification de la présence de vulnérabilités connues ou de fuites d'informations sensibles sur des sites web. Activistes, ils menèrent en 2006 des actions en vue de dénoncer la censure en Chine. En 1995, ils se firent remarquer suite à leurs attaques contre l'Église de Scientologie. Les noms de nombreux membres circulent sur Internet et dans des sites tels que Wikipedia. Plus de quatre millions de visiteurs par mois Le Russian Business Network (RBN) était originellement implanté à Saint-Pétersbourg. Le RBN est un fournisseur d'accès à Internet, suspecté de travailler étroitement avec diverses filières de la cybercriminalité. Le RBN débute ses activités en 2004 par des casinos virtuels et de la pédo-pornographie. Il héberge plus d'un million de sites qui accueilleraient plus de 4 millions de visiteurs par mois. Plusieurs membres hauts placés au sein du groupe sont connus. Certains bénéficieraient de puissants soutiens politiques. Des noms et des photos ... Photo : François Paget, chercheur en sécurité chez McAfee, auteur de cet article de synthèse ... circulent dans des documents publics ou confidentiels. Ils hébergent des sites aux activités malveillantes : diffusion de faux produits de sécurité (anti-virus, anti-spyware, codecs), animation de forums spécialisés (mise en relation, ventes, achats), proposition de rémunérations en contrepartie d'activités douteuses (iFrame), des sites piégés adressés par les IFrames (MPack, IcePack, WebAttacker, etc.), des sites miroirs et des sites collecteurs (phishing), des sites relais pour auto génération de malware (W32/Nuwar), des serveurs utilisés pour l'administration de botnet, des sites pour adulte (XXX) et des sites pédophiles. La mouvance de RBN fait souvent parler d'elle Dans la mouvance du RBN, c'est-à-dire hébergé chez lui, on retrouve de nombreux groupes qui font souvent parler d'eux. Il s'agit de DreamCoders Team impliqué dans Mpack, IDT group impliqué dans IcePack, inet-lux.com impliqué dans Web-Attacker et loads.cc impliqué dans des offres de DDoS. installscash.org propose des rémunérations du type affiliés/affilieur, en contrepartie d'une redirection (iFrame) vers des sites malveillants. Rock Phish est impliqué dans le phishing. Corpse est connu comme auteur et distributeur de Haxdoor et Nuclear Grabber : ce sont les premiers malware associés à des rootkits et capable d'intercepter des données financières. Bien que l'individu ait fait savoir en octobre 2006 qu'il cessait ses activités, il serait toujours impliqué dans le milieu de la cybercriminalité (carding). En 2006, la banque suédoise Nordea a perdu 1,1 million ... ... de dollars à cause d'un de ses programmes. Enfin, $ash (sans doute d'origine russe) est un revendeur connu depuis longtemps. Il est le distributeur et serait, selon certains, l'auteur de la trilogie «ZUnker, Zupacha, ZeuS ». Des salaires mensuels fixes Du côté de la Chine, le NCPH (Network Crack Program Hacker) est un groupe originaire du Sichuan qui étend son emprise dans d'autres provinces chinoises. Il s'agit d'étudiants ou d'anciens étudiants issu de Zigong (University of Science and Engineering). Il est connu pour avoir conçu le rootkit GinWui et certains de ses membres semblent spécialisés dans la suite Microsoft Office dont ils diffusent les vulnérabilités. Ils sont engagés dans des activités criminelles de faible envergure mais sont aussi connus pour mener des attaques contre les sites gouvernementaux américains. La tête du groupe est constituée d'une dizaine de membres sous la houlette d'un hacker surnommé Wicked Rose. Ils fonctionnent comme une entreprise avec des salaires mensuels fixes. On connaît la véritable identité de plusieurs d'entre eux. Un groupe de 20 000 hackers Toujours en Chine, le groupe Gray Pigeons développait et vendait encore récemment des backdoors sophistiqués et des outils furtifs de prise de main à distance. Aujourd'hui, Il se contente d'offrir un support technique à ses anciens clients. Là aussi, le leader du groupe est connu. Citons enfin le groupe d'activistes Honker Union of China. On le crédite de 20 000 hackers. Le groupe est connu pour ses attaques régulières de sites gouvernementaux et industriels aux Etats Unis, en Australie et en Nouvelle Zélande. Il est suspecté d'être à l'origine de certaines des attaques récemment menées en Europe contre Paris, Londres et Berlin.
