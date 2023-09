Un rapport met en évidence le rôle potentiel d’un groupe d’hacktivistes russes ultranationaliste, Zarya Legion, dans les perturbations qu’a subies Microsoft en juin dernier. Ce collectif de hackers cherche à se venger après le démantèlement de son outil pour cybercriminel.

Toutes les cyberattaques ne se valent pas. Les attaques par déni de service – ou DDoS – ont le plus souvent un impact dérisoire, voire invisible, malgré ce que veulent nous faire croire certains groupes de hackers. Certaines opérations méritent cependant notre attention. L’attaque DDoS contre Microsoft en juin dernier a suffisamment perturbé le réseau de Microsoft pour que le géant de la tech s’exprime dessus. La cyberattaque a été revendiquée et attribuée au groupe Anonymous Sudan, un collectif pro-russe aux origines incertaines, qui en a profité pour s’en vanter allègrement sur les réseaux sociaux. En coulisse, Zarya Legion, un autre groupe se félicitait de cette attaque.

« CyberKnow », chercheur dans les menaces cyber, a publié un rapport le 25 septembre sur l’activité du collectif d’hacktiviste. Il suggère que Zarya Legion aurait fourni les outils à Anonymous Sudan par haine de Microsoft à partir de diverses déclarations sur Telegram ainsi que des relations entre les deux groupes.

Une association d’hacktivistes russes

L’animosité de Zarya Legion, « l’aube » en russe, envers la firme de Redmond, commence en avril 2022, quand Microsoft démantèle un botnet opéré par les hackers russes. Ces derniers se plaignent d’un arrêt de leur activité, insultent le géant de la tech sur Telegram et promettent de revenir. CyberKnow indique que Zarya serait potentiellement lié à Zloader, un puissant botnet, abattu par Microsoft à la même période, et utilisé par les cybercriminels pour distribuer des logiciels malveillants et démantelé par Microsoft à la même période.

Zarya Legion revient, longtemps après, en février 2023, promouvant un nouveau botnet et injuriant encore Microsoft au passage. Le collectif déclare s’associer à Anonymous Sudan, le nouveau collectif d’hacktivistes spécialisé dans le harcèlement de l’occident. Les deux groupes se disent partenaires.

Le retour de Zarya sur Telegram en avril dernier avec la promotion de leur botnet. // Source : Numerama

L’attaque contre Microsoft, le coup de pub ultime

Cyberknow résume l’attaque contre Microsoft. Le 6 juin, Anonymous Sudan commence à cibler Microsoft par des attaques DDoS. Des milliers de clients basés aux États-Unis sont touchés. Les attaques se poursuivent au moins jusqu’au 10 juin. Microsoft confirme que les perturbations sur les solutions du groupe sont orchestrées par Anonymous Sudan. Dans un rapport, l’entreprise indique l’opération est un peu plus sophistiquée qu’une simple attaque DDoS, avec divers moyens employés pour saturer le système.

Anonymous Sudan est sur un petit nuage, tout comme Zarya Legion, qui suggère publiquement avoir pris part dans l’attaque.

La revendication de l’attaque contre Microsoft. // Source : Numerama

« Nous pouvons mettre en panne vos systèmes quand nous voulons » proclament les hacktivistes. La déclaration en tant que telle ferait rire beaucoup d’experts en cyber, mais elle fait partie des très rares revendications directes du groupe Zarya Legion. Contrairement à beaucoup de collectifs ultra-nationaliste russe, Zarya Legion se montre plus discret et publient peu de menaces démesurées.

L’hypothèse de Cyberknow est simple : en se basant sur ces messages, Zarya Legion aurait aidé Anonymous Sudan à perturber Microsoft, en fournissant potentiellement les outils nécessaires à la saturation du réseau de l’entreprise. Au-delà du fait que Microsoft soutienne l’Ukraine, la haine revendiquée de Zarya contre le groupe serait liée au démantèlement de leur précédent botnet par le géant de la tech. Au-delà de l’esprit revanchard des hacktivistes, ce rapport permet aussi de mettre en lumière peut-être l’un des seuls groupes capables de fournir des outils avec un impact conséquent contre les cibles.

La question du financement pour gérer ses outils mérite d’autres enquêtes. Soutien du gouvernement ? Liens avec le marché de la drogue ? Ou « simple » cybercriminalité en louant des services ? Beaucoup de moyens existent pour subventionner des opérations à but politique aujourd’hui.