Direct Jurnale Direct Monde
Ascultaţi


Cine sunt și cum acționează hackerii DarkSide?

darkside.png

Gigantul american Colonial Pipeline a fost atacat de hakerii de la DarkSide
Image source: 
© Getty Images via AFP - Michael M. Santiago via France24

Darkside, grupul de hackeri  acuzați de FBI pentru atacul asupra celei mai mari conducte petroliere a țării, este un actor relativ nou pe scena atacurilor cibernetice de tip „ransomware”. Apariția sa denotă o profesionalizare a acestui gen de atacuri, cu o mai mare grijă acordată comunicării, imaginii, țintelor care trebuie extorcate și recrutării hackerilor cibernetici.

Le place publicitatea, dar nu prea mult. DarkSide, grupul de pirați cibernetici acuzat de FBI pentru atacul informatic asupra gigantului american de conducte petroliere Colonial Pipeline, s-a lansat practic în relațiile publice, încercând să-și construiască o imagine de tip ,,Robin Hood”.

"Scopul nostru este să câștigăm bani, nu să creăm probleme societății", a transmis DarkSide pe forumul său în noaptea de luni spre marți. De asemenea, grupul a anunțat  că va „stabili un sistem de moderare și verificare” a țintelor înainte de orice atac.

Un anume cod de conduită și multă comunicare

Desigur, atacul de vinerea trecută a fost de o amploare fără precedent, paralizând o parte din aprovizionarea cu combustibil a întreagii coaste de est a Statelor Unite și amenințând cu potențiale consecințe asupra prețului energiei pentru milioane de americani.

Dar hackerii care, la fel ca DarkSide, sunt specializați în atacuri „ransomware” – un software care permite blocarea sistemelor informatice până la achitarea unei răscumpărări – sunt reputați în general pentru lăcomia lor. Astfel, de la începutul pandemiei Covid-19, spitalele și centrele de asistență medicală au devenit ținte principale pentru acești pirați cibernetici, cu riscul de a pune vieți în pericol.

Însă cei de la DarkSide nu par a fi făcuți din același aluat. Sau mai bine zis, acest grup reprezintă o variantă recentă a fenomenului „ransomware”, mai ”profesionistă”, după cum notează Jean-Baptiste Guglielmine, expert în securitate cibernetică al companiei americane Cybereason.

Apărut în august 2020, DarkSide și-a anunțat prima dată intențiile pe forumul său, accesibil numai pe DarkNet (o parte a Internetului care nu este accesată de motoarele de căutare). Acești specialiști în atacuri de tip „ransomware”, despre care se spune că ar avea sediul în Rusia sau într-o țară din Europa de Est, ar avea un cod de conduită care le interzice să vizeze „școli, spitale, ONG-uri și guverne”.

Pentru a-și perfecționa imaginea, acești pirați cibernetici au ajuns chiar să facă o donație de 20.000 de dolari în octombrie 2020 către mai multe asociații umanitare - care au refuzat însă banii. „Așa cum am spus mai înainte, atacăm doar grupurile mari care pot plăti. Și ni s-a părut corect să donăm o parte din sumă pentru cauze caritabile”, au transmis hackerii, care încearcă astfel să-și cultive o imagine de „Robin Hood”.

Acești ,adevărați ași ai atacului de tip „ransomware” și ai comunicării au creat chiar și o zonă de presă pe forumurile lor pentru a-și transmite mai bine mesajul. „Ei garantează un răspuns la întrebările jurnaliștilor în termen de 24 de ore”, spune amuzat expertul companiei Cybereason.

Doar vânat mare”

Contactat de canalul de televiziune France 24, Gérôme Billois, specialist în securitate cibernetică pentru firma de consultanță Wavestone afirmă că DarkSide gestionează ,,un întreg sistem de relații publice care, mai presus de toate, permite grupului să se diferențieze de ceilalți jucători din acest sector foarte concurențial”.

Pentru ei, este, de asemenea, „o modalitate de a se poziționa drept un actor serios și profesionist în care se poate „avea încredere” atunci când se plătește răscumpărarea”, adaugă Dmitry Galov, specialist în cazul Darkide, de la compania rusă Kaspersky, specializată în securitate cibernetică.

Dar, pentru acest expert, aceste discursuri frumoase nu sunt decât o cortină care ascunde o mașină perfect unsă pentru a extorca suma maximă de bani de la victimele lor. Răscumpărarea cerută de DarkSide este în general „între 200.000 și două milioane de dolari”, subliniază Jean-Baptiste Guglielmine.

„Într-un an, acest grup a devenit unul dintre principalii jucători din categoria „Big Game Hunters” („vânători de vânat mare”), explică el. Un termen pentru infractorii cibernetici care se concentrează pe ținte cu mare potențial și care nu urmărește neapărat să atace cât mai multe victime în același timp.

Pentru a realiza acest lucru, DarkSide a creat o platformă care îi permite „să acționeze ca un fel de Uber „ransomware”, rezumă Gérôme Billois. Grupul acționează în primul rând ca intermediar: oferă instrumentele sale pentru a ataca victimele și apelează la „persoane care fac munca murdară, numite afiliați, pentru a crea software-ul care atacă propriuzis”, explică expertul de la Wavestone.

Recrutarea acestor soldați „ransomware” subliniază nivelul de profesionalism al DarkSide. Aceștia sunt selectați după numeroase interviuri de angajare care, pe lângă întrebările referitoare la capacitățile de hacking ale candidatului, urmăresc, de asemenea, să se asigure că nu sunt infiltrați de către servicii de informații.

Astfel, „ei caută oameni care nu vorbesc limba engleză și le pun întrebări specifice legate de cultura, istoria sau politica țărilor din Europa de Est și Rusia”, spune Dmitry Galov. Mai mult, ei refuză să atace ținte din Rusia.

O ratare

Grupul face mai mult decât o cerere de răscumpărare pentru a restabili accesul la datele furate. „El aparține acelei categorii de actori care practică dubla extorcare. Adică sustrag datele filtrate înainte de activarea „ransomware-ului”, ceea ce le permite apoi să șantajeze victimele a doua oară, amenințându-le cu publicarea datelor compromițătoare”, explică Jean-Baptiste Guglielmine.

DarkSide se remarcă, de asemenea, „prin gradul ridicat de documentare efectuat înainte de lansarea atacului”, notează expertul al Cybereason. Acești infractori caută să culeagă cât mai multe informații despre țintele lor pentru a înțelege pe cine atacă și cât pot cere.

Acest profil, al hackerilor foarte atenți la pregătirea atacului, nu se potrivește bine cu acea mea culpa publicată după atacul asupra Colonial Pipeline. Este greu de imaginat că nu erau conștienți de posibilele consecințe ale închiderii celui mai mare furnizor de combustibil de pe coasta de est a SUA. „Se crede că discursul lor este influențat de amploarea crizei”, notează Jean-Baptiste Guglielmine.

„A fost clar o ratare și încearcă să șteargă legătura cu atacul asupra conductelor petroliere”, a spus Gérôme Billois. "Mijloacele pe care Statele Unite le pot folosi pentru a depista autorii unui atac asupra infrastructurii esențiale sunt mult mai importante decât cele utilizate pentru a lupta împotriva celor care șantajează companiile bogate", precizează specialistul.

De asemenea, această ratare le-a afectat afacerile. „Pe termen scurt, clienții se vor gândi probabil de două ori înainte de a se adresa unui grup care probabil are FBI pe urmele sale”, asigură Jean-Baptiste Guglielmine. Dar, potrivit lui, această situație nu este ceva grav pentru DarkSide. „În cel mai rău caz, se vor dizolva și vor reapărea sub un alt nume”.

 

Traducere de Magda Savițchi după articolul publicat de France24