Le Citizen Lab a révélé l'existence du groupe de hackers mercenaires Dark Basin. Alimenté par une entreprise indienne, il s'est attaqué à des centaines de victimes : journalistes, dirigeants, personnalités politiques... Mais les traces grossière laissées par ces membres ont permis de l'identifier.

Ce groupe de hackers mercenaires est embauché pour des tâches allant de l’espionnage industriel aux manœuvres d’intimidations. Depuis 2017, il a visé, souvent avec succès, des milliers d’organisations et d’individus : des patrons, des journalistes, des ONG, des fonds d’investissement ou encore des personnalités politiques. Les pirates d’élite ont frappé sur tous les continents et dans presque tous les secteurs.

Ce groupe a désormais un nom ; Dark Basin. Le Citizen Lab, laboratoire canadien de pointe en cybersécurité, l’a nommé ainsi après avoir identifié et délimité son activité, dans un rapport rendu public ce mardi 9 juin. Les chercheurs suspectent fortement une entreprise tech indienne, BellTroX, d’être derrière ce groupe de mercenaire. Leur site a été suspendu après la parution de l’étude. Quant aux commanditaires des missions, ils s’avèrent bien plus difficiles à identifier, et le Citizen Lab ne donne aucun nom.

Sur son site (fermé depuis), BellTrox proposait différents services, sans nommer directement leur hacking à la demande. // Source : Citizen Lab

Les commanditaires donnent des informations sur les cibles

Les chercheurs ont démarré leur enquête en 2017, après qu’un journaliste les a contactés, car il était la cible de tentative de phishing ciblé par mails. L’équipe du Citizen Lab a trouvé ici un premier bout de ficelle sur lequel tirer pour remonter au groupe de hacker : tous les emails utilisaient un réducteur d’URL très peu répandu. Ces outils — comme bit.ly — permettent de réduire la taille d’un lien vers une adresse web. Pour les cybercriminels, c’est un bon moyen pour cacher l’adresse sur laquelle ils souhaitent envoyer leur cible, qui contient le plus souvent des formulaires frauduleux pour voler les données.

Dark Basin opérait ses propres outils, et était le seul à les utiliser : le Citizen Lab a identifié près de 28 000 liens, édités grâce à 28 services différents .L’équipe de chercheur a pensé qu’ils pouvaient être soutenus par un État — comme de nombreux groupes dangereux –, mais la diversité des opérations menées par les hackers les a amené sur un autre chemin. «  Les cibles de Dark Basin n’étaient souvent que d’un seul côté d’une procédure judiciaire contestée, d’un débat militant ou d’un accord commercial », relèvent-ils. Ils en ont conclu qu’ils étaient probablement embauchés des organisations diverses.

Pour arriver à leurs fins, les hackers de Dark Basin envoient des messages de phishing dans lesquels ils font preuve de créativité. Parmi l’arsenal observé par les chercheurs se trouvent des abus d’identité, de fausses alertes Google News ou encore des messages privés Twitter. Les pirates utilisent à la fois des campagnes massives et des tentatives personnalisées. Le Citizen Lab soupçonne les commanditaires des piratages d’alimenter ces dernières : « Le choix des cibles de Dark Basin montre un savoir approfondi sur la hiérarchie informelle des organisations. Une partie de ce savoir est très difficile à obtenir à partir d’une enquête menée uniquement sur des données accessibles publiquement. » Les mercenaires savent non seulement qui viser, mais aussi quelles techniques pourraient fonctionner le mieux sur leurs cibles.

Entreprise louche vend services de « hackers éthiques certifiés »

Rapidement, les ficelles tirées par les chercheurs remontent à BellTroX, une entreprise indienne. BellTroX ne présente pas ses services de cyberespionnage comme tels, mais elle les cache derrière une couverture grossière. L’entreprise propose des services de « hacking éthique » menés par des « hackers éthiques certifiés » (sans préciser de nom de certification). Et un slogan adressé aux clients : « Vous désirez, nous agissons ! ». Cette devanture publique inquiète les chercheurs : « Cette pratique laisse entendre que les entreprises et leurs clients ne s’attendent pas à subir de conséquences juridiques et que le recours à des sociétés de piratage à la demande peut être une pratique courante dans le secteur des enquêtes privées.  »

Le Citizen Lab a pu remonter à l’entreprise grâce aux traces grossières laissées par les employés de l’entreprise. Certains utilisaient leurs documents personnels — dont des CV — comme hameçon pour leur phishing. D’autres se vantaient de leurs techniques d’attaques sur les réseaux sociaux, captures d’écran à l’appui. Cerise sur le gâteau, plusieurs d’entre eux ont un compte LinkedIn, sur lequel ils mettent en avant leurs compétences en hacking : « espionnage industriel », « pénétration d’email », ou encore « Direction d’opérations de cyberespionnage ».

Hackers mercenaires, un fléau en devenir ?

Leur travail est d’ailleurs recommandé par toute une liste d’organisations : des officiers de police, des détectives privés ou encore un haut fonctionnaire canadien. « Une recommandation LinkedIn ne prouve pas qu’un individu a passé un contrat avec BellTroX pour le piratage ou toute autre activité. Cependant, cela soulève des questions quant à la nature de la relation entre les deux partis » met en garde le Citizen Lab. Quant au directeur de BellTroX, Sumit Gupta, il a été inculpé (sans suite) en Californie en 2015 pour son rôle… dans un réseau de hackers mercenaires.

Grâce à cette révélation, le Citizen Lab espère récupérer de nouveaux témoignages de victimes. Mais surtout, il veut pointer vers ce danger nouveau des mercenaires hackers, symptôme d’une évolution néfaste du monde de l’investigation privée.

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux