Le vent vient-il de tourner pour les bruyants hacktivistes de NoName057(16), ce collectif pro-russe à l’origine de nombreuses attaques en déni de service ? La Guardia civil espagnole vient en effet d’annoncer l’arrestation de trois suspects dans les îles Baléares, Huelva et Séville.
Selon le communiqué de presse des gendarmes espagnols, ils sont accusés d’avoir participé à des attaques en déni de service contre des organisations espagnoles et d’autres pays de l’Otan, l’alliance militaire qui réunit les Etats occidentaux. Soit les Etats s’étant positionnés en faveur de l’Ukraine à la suite de l’invasion russe de février 2022.
En France, l’Assemblée nationale avait notamment été victime de ce groupe. Ces attaques en déni de service ne sont en réalité pas très efficaces sur le plan technique. Mais elles suscitent une forte médiatisation qui rend intéressant leur usage par des groupes malveillants.
Vendetta
Pour l’anecdote, la vidéo partagée par la Guardia civil suggère que l’un des suspects avait un attachement particulier pour l’URSS, en témoigne le grand drapeau rouge à la faucille et au marteau épinglé au mur. Une fédération communiste comprenant l’Ukraine et dont la Russie de Poutine revendique aujourd’hui l’héritage.
Après l’annonce de ces arrestations, NoName057(16) a multiplié les déclarations grandiloquentes sur son canal Telegram. “Nous serons toujours plus nombreux”, déclare le collectif, avant d’annoncer le lancement d’une “vendetta” et de dénoncer des brutalités policières espagnoles.
Comme le souligne la Guardia civil, l’innovation principale de NoName057(16) réside dans le partage de leur outil maison, Ddosia. Ce dernier permet la mise en place d’attaques DDoS participatives.
Botnet volontaire
C’est en quelque sorte un botnet “volontaire”, remarquaient deux chercheurs de l’entreprise de cybersécurité Sekoia, lors de la conférence CoRIIN. Concrètement, il permet de mener des attaques dites « layer 7 », visant la couche applicative et principalement les serveurs web.
Le logiciel malveillant permet de rendre chaque requête unique, compliquant le tri entre le trafic légitime et malveillant. On ignore le nombre réel d’internautes embarqués dans ce projet. “Sur la dernière version du logiciel diffusé en mars 2024, on peut estimer qu’environ 200 personnes l’ont récupéré”, avait par exemple estimé Sekoia.
Les chercheurs de l’entreprise avaient toutefois constaté la réalisation d’attaques en déni de service alors même que Ddosia était inactif. Ce qui suggère que les attaques menées par la communauté pro-russe ne sont qu’une partie “de la puissance de feu du groupe”. Il faudra donc davantage d’arrestations pour mettre fin à cette nuisance.