NoName057(16) : l’expansion rapide d’un collectif hacktiviste pro-russe

septembre 21, 2023

Au cœur de la guerre russo-ukrainienne, le monde a été témoin d'une montée en puissance des cyberattaques perpétrées par des hackers pro-russes. NoName057(16), un groupe de la menace, a particulièrement retenu l'attention depuis son apparition en mars 2022. Ce groupe a été à l'avant-garde de nombreuses cyberattaques, ciblant diverses agences gouvernementales, médias et entreprises privées en Ukraine, aux États-Unis et en Europe. Des chercheurs de la menace Radware[1] ont réussi à infiltrer et analyser ce groupe pour en révéler les opérations secrètes.

Par Julien D.

Et elles sont complexes ! Elles impliquent la collaboration de milliers de bénévoles[2], recrutés sur le dark web, ainsi que des membres clés qui coordonnent les cyberattaques. NoName057(16) a également adopté une méthode de recrutement particulière en rémunérant ses bénévoles de manière tout à fait spécifique.

Pour parfaire son organisation, le groupe a même créé un canal sur lequel il invite ses bénévoles à afficher des captures d’écrans et des vidéos de leurs DDoS (requêtes envoyées avec le client DDoSia).

Capture d’écran publiée dans le canal par l’un des bénévoles

Lors des entretiens avec les chercheurs en sécurité de Radware, des détails intrigants sur NoName057(16) ont été dévoilés, tels que le montant du budget quotidien du groupe, utilisé pour le versement de ses paiements ainsi que la découverte de jetons cryptés CryptoBot. La mise en lumière de ces informations a alors permis la révélation des mécanismes internes de cette insurrection numérique.

Lorsqu’il leur fut demandé de préciser quelle était la structure organisationnelle de NoName057(16), les chercheurs étaient incapables d’apporter des preuves concrètes sur le nombre réel de membres principaux ou sur leur hiérarchie. Au vu, de ce qu’ils ont pu apercevoir, ils supposent que le groupe fonctionne de manière horizontale, avec quelques membres principaux chargés de tâches spécifiques, notamment la gestion de leur bot DDoSia.

NoName057(16) utilise divers canaux de communication, principalement Telegram, pour coordonner ses opérations. Il communique en russe sur leur chaîne Telegram principale, mais en a également créé une version anglaise pour attirer l’attention internationale. Un groupe Telegram dédié au « Projet DDoSia » est utilisé pour fournir des instructions et du soutien à l’ensemble des bénévoles.

Surveillance des attaques réalisées par DDoSia (Source : CERT-SysDream)

L’un des aspects les plus intrigants de NoName057(16) est sans doute son modèle de rémunération. Les bénévoles sont récompensés en pièces TON, une crypto-monnaie, via CryptoBot. Les paiements sont basés sur le nombre d’attaques effectué par un bénévole par rapport à l’ensemble des attaques réalisées en une journée donnée, ainsi que sur le budget alloué par les opérateurs du groupe. Ce modèle financier évolue constamment, ce qui rend difficile l’estimation du revenu des participants.

Capture d’écran des discussions liées au paiement (Photo : Radware)

NoName057(16) demeure un acteur clé dans ce paysage et continue de représenter une menace sérieuse, comme en témoignent ses opérations persistantes et ses réponses aux allégations qui pourraient le lier à d’autres groupes. La lutte contre de telles menaces reste un défi, mais des enquêtes comme celle-ci nous rapprochent d’une meilleure compréhension et d’une défense plus efficace contre les acteurs malveillants de l’univers numérique.

Fiche technique :

Date de création : mars 2022
Spécialité : DDoS
Motivation : Géopolitique
Caractéristiques : menace communautaire
Secteurs préférés : organisations étatiques

SysDream vous accompagne dans la gestion du risque cyber de votre système informatique. Nous mettons à votre disposition (que vous soyez client ou non) une équipe d’experts spécialisés dans la réponse aux incidents et l’investigation numérique pour contenir un incident de sécurité informatique, y remédier et enquêter sur les sources de l’attaque.

N’ATTENDEZ PAS D’ÊTRE ATTAQUÉS ! Contactez-nous

https://sysdream.com/audit-conseil/ris-reponse-incidents-securite/

[1] https://cybernews.com/cyber-war/new-undercover-intel-noname-russian-hacktivist-operations/

[2] Individus qui s’impliquent volontairement et sans rémunération financière dans les activités du groupe, en l’occurrence, dans le cadre de leurs opérations de cyberattaques. Ces bénévoles agissent de leur propre gré, sans contrainte légale ou financière, pour soutenir les objectifs du groupe NoName057(16) en contribuant à la réalisation d’attaques DDoS et à d’autres activités liées à la cybercriminalité. Ils participent volontairement à ces opérations en fournissant leurs ressources, leurs compétences techniques ou leur temps, parfois dans l’espoir de recevoir des paiements ou des récompenses en retour.

Julien D.

Julien D. est analyste de la menace cyber depuis juin 2022, chez Sysdream, la division cybersécurité de Hub One. Comme tant d’autres de ses collègues, pour Julien, la cybersécurité est plus qu’un travail, c’est une véritable passion ! A tel point que Julien décide d’approfondir le sujet en s’intéressant à la psychologie des acteurs malveillants pour comprendre leurs comportements. Formé en intelligence économique, Julien se concentre surtout aujourd’hui sur la protection de l’information des organisations. Pour mieux appréhender ce volet défensif, Julien approfondit ses connaissances en s’intéressant aux sujets politiques, culturels et géoéconomiques, qui lui permettent d’avoir une vision globale des faits de société et de mieux appréhender les potentielles intrusions. Côté technologique, avec Julien, nous ne sommes jamais loin de son métier puisque son attrait va pour le logiciel Maltego, un outil de collecte d’informations qui permet l’exploration de données sur un sujet choisi. On ne se refait pas !

Recevez toute l'actualité en avant-première

Prénom *

Nom *

Email *

Je consens au traitement des données personnelles que j’ai renseignées pour les finalités décrites ci-après.

Je reconnais avoir pris connaissance des Conditions générales d'utilisation et de la Politique de confidentialité de SysDream, et je les accepte.

Le captcha n'est pas correct

Merci, nous avons pris votre demande.

Les données collectées via ce formulaire sont traitées par Hub One afin de procéder à votre demande d’inscription à l’onglet « Recevez nos actualités » et ainsi pouvoir être informé périodiquement par email. Vous disposez de droits (accès, rectification, effacement de vos données ainsi que limitation et opposition au traitement) et de la possibilité de retirer votre consentement à tout moment en vous adressant au Délégué à la protection des données de Hub One à l’adresse suivante : dpd@hubone.fr. En cas d’échec, vous disposez également d’un droit de réclamation auprès de la CNIL. Pour plus d’informations, veuillez prendre connaissance de notre politique de confidentialité

Cookies strictement nécessaires

Ces cookies permettent de détecter votre langue, de conserver vos choix en matière de cookies, de mémoriser si vous avez fermé une fenêtre « pop-up » et de mesurer l’audience du site. Ces cookies permettent la fourniture du site et sont donc strictement nécessaires au fonctionnement de ce dernier et ne peuvent pas être désactivés.

PHPSESSID, pll_language, tarteaucitron, matchadform, _pk_id.26.b623, MATOMO_SESSID

Toujours actifs

Cookies vidéos Youtube

Ces cookies sont déposés par des entités tierces et permettent le bon fonctionnement des vidéos YouTube insérées sur le présent site. Attention : le refus de ces cookies peut avoir une incidence sur le fonctionnement des vidéos. Vous pouvez refuser ou accepter l’utilisation des cookies de cette catégorie

Google Youtube

Cookies statistiques et marketing

Ces cookies permettent de comprendre comment les visiteurs interagissent avec le site afin d’améliorer le service et le confort de navigation. Vous pouvez refuser ou accepter l’utilisation des cookies de cette catégorie :

Cookies statistiques et marketing