Politique

Shadowboxing et géopolitique sur le dark web

[ad_1]

« Vous avez une sorte de cyber-opération idéologique qui se produit entre ce que j’appellerais des participants volontaires », a déclaré Adam Meyers, vice-président senior du renseignement chez CrowdStrike, société de technologie de cybersécurité. « Nous assistons à la prolifération d’opérations cyber offensives vers de plus en plus d’États-nations. »

En septembre, des chercheurs de Google et d’IBM notaient la même dynamique. Les outils de piratage de Conti ont été utilisés dans des cyberattaques contre l’Ukraine dans ce que les chercheurs ont appelé un « brouillage sans précédent des lignes ».

Sur le dark web, ce nouvel environnement est né en partie d’un succès des forces de l’ordre : en avril, les autorités allemandes ont fermé Hydra – à l’époque, le plus ancien et le plus grand marché darknet au monde, et l’un des endroits où Conti a acheté et vendu des données et des outils de piratage, selon les journaux.

Des groupes comme Conti ont toujours été relativement indépendants de la plate-forme, prêts à passer à la prochaine grande plate-forme et à poursuivre leurs activités. Lorsque le FBI a fermé Silk Road, le premier marché darknet moderne au monde, en octobre 2013, cela a ouvert la voie à AlphaBay, un marché darknet qui est devenu 10 fois plus grand que son prédécesseur.

Mais quand Hydra a disparu, ses anciens administrateurs ont rapidement comblé le vide avec plusieurs nouveaux marchés et forums darknet plus petits, ouvrant la voie à ce qu’András Tóth-Czifra, analyste principal de la société de renseignement sur les cybermenaces Flashpoint, appelle une « guerre du places de marché » sur le darknet en langue russe.

Et ces marchés ne sont pas seulement en conflit avec la loi, ils sont en conflit idéologique les uns avec les autres, divisés selon des lignes pro-Kremlin et pro-Ukraine.

Washington s’inquiète pour ces groupes, mais peine aussi à trouver des solutions.

représentant Jim Himes (D-Conn.), Qui préside le sous-comité de la Chambre sur la sécurité nationale, le développement international et la politique monétaire, a déclaré que les criminels qui utilisent les darknets sont particulièrement dangereux car ils ont besoin de relativement peu de ressources pour pirater et compromettre des systèmes informatiques massifs aux États-Unis.

« C’est la menace asymétrique ultime », a déclaré Himes.

Et la réglementation est particulièrement difficile lorsque nous parlons du monde technologiquement complexe du dark web, dit-il.

« Tout le monde comprend les ponts, n’est-ce pas ? Personne ne comprend Monero », a déclaré Himes, faisant référence à la crypto-monnaie difficile à suivre qui devient la valeur par défaut pour les marchés darknet.

Et la police et les forces de l’ordre continuent également de rattraper leur retard, opérant avec d’importants handicaps technologiques et diplomatiques qui entravent les efforts visant à éliminer de vastes opérations cybercriminelles décentralisées.

Dans le même temps, les cybercriminels sur ces plateformes améliorent constamment leur sécurité opérationnelle. De nombreux marchés plus récents ont rendu obligatoire l’utilisation de Monero et utilisent de plus en plus des outils de communication cryptés.

La géopolitique de la cybercriminalité

La fuite de Conti n’était que la première confrontation politique entre ces gangs sur de nouveaux marchés après la chute d’Hydra.

En août, le groupe de hacktivistes pro-Kremlin au franc-parler Killnet a attaqué un forum de discussion darknet pro-ukrainien appelé RuTor, affirmant qu’il était dirigé par les agents des services secrets ukrainiens.

Tóth-Czifra de Flashpoint a déclaré que c’était le genre d’action qui avait, jusqu’à présent, été pratiquement interdite dans la pègre cybercriminelle – attaquer un acteur du darknet affilié à un ancien pays soviétique. Alphabay, par exemple, a des directives disant que la plateforme interdit toute activité dirigée contre la Russie, la Biélorussie, le Kazakhstan, l’Arménie ou le Kirghizistan.

C’est en partie parce qu’il y a toujours eu une dimension quelque peu politique pour maintenir le fonctionnement des marchés darknet, et cela implique souvent de faire plaisir aux gouvernements qui seront laxistes en matière d’application.

« Ce que font la Russie et certains autres pays, c’est fermer les yeux », a déclaré Himes, décrivant des gangs comme Conti comme des « acteurs quasi-étatiques » que les gouvernements autorisent à opérer parce que leurs attaques contre des pays rivaux répondent aux objectifs politiques de ces gouvernements.

Avant que la Russie n’envahisse l’Ukraine, il y avait eu au moins quelques ouvertures entre les États-Unis et la Russie pour lutter contre la cybercriminalité transnationale. En juillet 2021, le président Joe Biden a eu un appel téléphonique avec Poutine pour tenter de le convaincre de sévir contre les collectifs de piratage basés en Russie. Alors que Biden a menacé de prendre « toute mesure nécessaire » pour protéger les infrastructures critiques américaines, il a également déclaré que les deux pays avaient mis en place des lignes de communication sur la question.

Mais la dernière fois que des agents russes ont même coopéré nominalement avec leurs homologues américains sur une opération d’application de la loi sur le darknet, c’était en avril – 10 jours après le buste d’Hydra et moins de deux mois après l’invasion de l’Ukraine. Les autorités russes ont arrêté Dmitry Pavlov pour trafic de drogue à grande échelle. Pavlov a admis avoir fourni des serveurs à louer en tant qu’intermédiaire, mais a nié toute implication directe dans l’administration du site.

Dans le même temps, les gangs criminels qui utilisent ces marchés deviennent de plus en plus effrontés, utilisant les outils de piratage qu’ils achètent sur les plateformes pour des cyberattaques contre des cibles plus importantes qui pourraient entraver les gouvernements.

En 2017, CrowdStrike’s Meyers a vu l’émergence de « ce que nous appelons la chasse au gros gibier ou le rançongiciel d’entreprise » – faisant référence aux outils que les pirates utilisent pour bloquer l’accès à un système informatique jusqu’à ce qu’ils obtiennent un paiement. Ces acteurs cybercriminels avaient compris qu’ils obtiendraient une meilleure conformité à leurs demandes de rançon si le coût de leur cible pour se déconnecter, même pendant quelques heures, était élevé, ou si les données compromises étaient particulièrement sensibles. « C’est vraiment le sweet spot qu’ils recherchent », a déclaré Meyers.

Tóth-Czifra de Flashbpoint a déclaré que ces attaques plus médiatisées signifiaient qu’ils craignaient également moins que les gouvernements ne les poursuivent.

« Nous pensions qu’ils ne cibleraient pas les infrastructures critiques ou les systèmes industriels par crainte de représailles. Et puis Colonial Pipeline est arrivé », a-t-il déclaré, faisant référence à la cyberattaque de mai 2021 par un groupe d’Europe de l’Est appelé DarkSide sur un important pipeline de carburant de la côte Est qui a forcé l’entreprise à arrêter ses opérations pendant six jours. DarkSide a déclaré que l’attaque n’était pas politique.

Le problème de la réglementation et de l’application

Le jour de la chute d’Hydra, la secrétaire au Trésor, Janet Yellen, a lancé un avertissement inquiétant aux utilisateurs de la plateforme. « Vous ne pouvez pas vous cacher sur le darknet ou leurs forums, et vous ne pouvez pas vous cacher en Russie ou ailleurs dans le monde », a déclaré Yellen. « En coordination avec des alliés et des partenaires, comme l’Allemagne et l’Estonie, nous continuerons à perturber ces réseaux. »

Pourtant, la plupart de la base d’utilisateurs cybercriminels d’Hydra – vendeurs, acheteurs et administrateurs – ont jusqu’à présent échappé aux poursuites.

Les critiques disent que c’est parce que les forces de l’ordre ont mis du temps à s’adapter et que la coordination entre les agences et entre les gouvernements a été au mieux dispersée.

Au niveau national, les agences fédérales doivent encore se mettre d’accord sur une stratégie cohérente pour lutter contre les activités cybercriminelles sur le dark web, même pour les drogues illicites, l’un des domaines où les forces de l’ordre ont concentré leurs efforts.

C’est parce que les méthodes traditionnelles pour « suivre l’argent » sont de plus en plus difficiles dans un monde dominé par la crypto-monnaie.

L’ancienne agente de la DEA Elizabeth Bisbee fait pression depuis 2015 pour que les forces de l’ordre fédérales apprennent à surveiller les transactions de crypto-monnaie – l’une des principales méthodes de paiement sur ces marchés – dans les enquêtes sur les drogues.

Bisbee, qui dirige maintenant les enquêtes américaines au sein de la société privée d’analyse de chaînes de blocs Chainalysis, a déclaré que le plaidoyer interne pour plus de cyber-soutien dans les enquêtes de la DEA au cours de son mandat à l’agence avait « été accueilli avec hésitation ».

Dans un environnement traditionnel d’application de la loi, des concepts tels que les paiements numériques et la crypto-monnaie ne sont toujours pas familiers, a-t-elle déclaré. Bisbee a rappelé les déclarations qu’elle entendait souvent de la part des agents des forces de l’ordre qui avaient du mal à s’adapter : « Nous gérons des numéros de téléphone, nous faisons de la surveillance dans la rue. Que voulez-vous dire, nous devons maintenant faire de la surveillance sur un ordinateur ? Qu’est ce que ça veut dire? »

Les enquêteurs s’appuient parfois sur des techniques traditionnelles, comme l’analyse des enregistrements d’appels téléphoniques sur des fournisseurs individuels du marché du darknet lorsqu’ils tentent d’encaisser leurs gains en crypto-monnaie.

Mais cela a ses inconvénients. Il faut de nombreuses heures pour retrouver un seul fournisseur en utilisant des techniques d’enquête traditionnelles. Hydra comptait plus de 19 000 fournisseurs actifs lorsque ses serveurs ont été saisis.

En raison des défis technologiques et de la nature interjuridictionnelle de ces enquêtes, la coordination d’une opération multinationale d’application de la loi pour mettre fin à une opération cybercriminelle sur le darknet peut prendre des années. Hydra a fonctionné sans entraves pendant sept ans avant que ses serveurs ne soient saisis.

Il y a eu des progrès ces dernières années. Aux États-Unis, la DEA a créé un certain nombre d’initiatives pour lutter contre le commerce de la drogue en ligne, y compris une équipe criminelle conjointe de répression des opioïdes Darknet formée en 2018. Cette même année, le DOJ a dirigé une équipe multi-agences qui a détruit un énorme marché darknet. où la pédopornographie était vendue. Et sur le front international, les États-Unis ont signé en mai un protocole de coopération internationale en matière d’application de la loi pour lutter contre la cybercriminalité, après près de quatre ans de négociations entre le DOJ et le Département d’État.

Mais le réseau mondial de cybercriminels a également amélioré son jeu.

En plus de l’utilisation de crypto-monnaies comme Monero et d’un cryptage plus fort, les nouveaux marchés du darknet se tournent vers des « mixeurs » de crypto-monnaie intégrés qui augmentent l’anonymat des utilisateurs en masquant les origines des paiements.

Et le manque de réglementation continue d’aider les échanges sur le marché du darknet. Les réglementations sur la crypto-monnaie varient considérablement dans le monde, ce qui signifie que les marchés peuvent se déplacer vers un nouveau pays chaque fois que l’on sévit. Et le contrecoup contre la sanction d’août 2022 de l’un de ces mélangeurs – Tornado Cash – a mis en évidence à quel point il est difficile de réglementer les technologies prenant en charge l’anonymat des utilisateurs.

Alors que les régulateurs fédéraux se demandent comment réglementer la blockchain, Monero a annoncé des mises à niveau de cryptage en août pour améliorer l’anonymat des utilisateurs.

S’adapter à un paysage modifié

Ainsi, cette nouvelle génération de places de marché darknet est constituée d’entreprises cybercriminelles tentaculaires aux motivations sombres et nationalistes qui ont appris des erreurs de sécurité opérationnelle de leurs prédécesseurs.

Et ils ne font que devenir plus actifs. Au cours du seul premier semestre 2022, plus de 236 millions d’attaques de ransomwares ont été signalées dans le monde.

« Vous devez comprendre que vous êtes une cible, que ce soit d’un groupe cybercriminel organisé, d’un logiciel de rançon ou d’un État-nation essayant de voler votre propriété intellectuelle », a déclaré Keith Mularski, un ancien cyber-enquêteur du FBI.

Et à mesure que les motivations de ces groupes changent, les approches pour les réprimer devront probablement aussi changer.

En fin de compte, la clé pour lutter contre ces cybermenaces obscures, a déclaré Mularski, est de comprendre la « personne au bout de ce clavier ».

[ad_2]

Politico En2Fr

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.
Bouton retour en haut de la page