Nous joindre par : 0890 170 001*

DDoS : qui sont les « pirates » du 8 décembre ?

Samedi 8 décembre 2018, pendant que des manifestations battaient le pavés Parisien, des internautes ont tenté de s’attaquer à plusieurs sites du gouvernement Français. Retour sur des amateurs de DDoS aux intérêts économiques à peine cachés.

Mise à jour : Anonymous lance une opération pour le 8 décembre ? ; Qui sont les pirates du 8 décembre ? ; OPFrance : Anonymous, pirates et hacktivistes en gilet jaune ; Actions numériques et cyber guérillas pour la 4ème manifestation des Gilets Jaunes

Pryzraky
Une des premières liste diffusée par les Anonymous.

Après avoir regardé du côté des pirates « Gilets Jaunes » et les trois bases de données diffusées le 8 décembre, regardons du côté des pirates amateurs de DDoS.

Je vous expliquais dans un article publié le 8 décembre, comment de jeunes Français étaient manipulés par certains internautes signant sous la signature d’Anonymous. Des « pirates » adeptes du DDoS qui sautent sur la première manifestation qui passe afin de vendre leurs services.

Parmi ces vendeurs de blocage de site web, on retrouve un groupe du nom de Pryzraky (qui normalement s’écrit avec un i). Un terme slovaque se traduisant par spectres. Ce groupe (des Brésiliens, Russe, …) s’est fait connaître ces dernières semaines après les attaques du KKK, le Klu Klux Klan, groupes de racistes américains. Ils se sont aussi attaqués à la municipalité de Rio Grande ou encore la Préfecture de Sao Joao (au Brésil). 
Plusieurs centaines de milliers de données volées (Personnes, véhicules, écoles, données sensibles sur la gestion de pharmacies.). Ou encore la Banque de Bahamas

Brésil, Turc, Israël, France, Russie …

Vient ensuite le pirate LorianS. Ce dernier est sur tout les fronts. Avant de passer par la France, il s’était auparavant attaqué au gouvernement d’Haïti (28/11) et au Vatican (5 décembre) avec des DDoS de quelques minutes. Le voici maintenant parti bloquer des sites en Grèce. Il sera très certainement sur une autre cible à peine cet article terminé.

Il est le principal auteur des blocages ayant visé, quelques minutes : site SSI.GOUV.FR, le 8 décembre, vers 14h40. Ainsi que de artisanat-commerce-tourisme.gouv.fr, justice.gouv.fr, cohesion-territoires.gouv.fr, ecologique-solidaire.gouv.fr et culture.gouv.fr. Il s’est aussi attaqué aux sites Rothschild.com, rothschildandco.com et bis.org (Bank for International Settlements).

Le troisième larron, ZG. Ce dernier diffuse un tarif pour DDoS. Il commercialise aussi pour 20$ des serveurs « offshore ». Il se dit FrancoRusse. Il a bloqué durant plus de 3heures, le 8 décembre, le site DynDNS.fr « Parce que c’est une attaque de grande ampleur, pas beaucoup de personnes font des attaques sur des sites tel que dyndns ! explique l’individu. Beaucoup de personnes disent que DynDns est intouchable, je leurs montre le contraire en faisant cette attaque.« 

Sur Twitter, ZG va m’expliquer que le groupe « Ne se prétend pas être Anonymous ou autres groupes de – hackers -, cela dit au Brésil beaucoup aime être affiliés au Anonymous. Pas moi personnellement. » Le jeune pirate explique avoir créé son propre script en perl du nom de Blastered.pl. Il ferait actuellement 70 000 requêtes par secondes en Layer7. « Sinon, j’attaque régulièrement avec des – Mirai botnet – ou des – qbot – même si je favorise Mirai pour sa puissance et sa stabilité !« .

Spectres

Le quatrième pirate de ce groupe se nomme Mecz1nho. Il est le « leader » du groupe Pryzraky. Lui aussi Brésilien. Le 25 novembre, il s’est amusé à bloquer un serveur de la NASA. Le 2 décembre, un serveur de la CIA ! Ce dernier a été très clair avec moi : « We are not part of Anonymous, we are an individual team. » Traduisez, son groupe donne un coup de main, mais les membres ne sont pas des Anonymous !

Le 5ème, Sharp (voir article du 8 décembre). Il vient de s’attaquer, le 9 décembre, à l’Internet Brasil Teleinformatica. Ici aussi, un DDoS. Il va participer à l’attaque de ssi.gouv.fr et justice.gouv.fr.

Le 6ème participants à cette Op France, Unity. Ce dernier va s’attaquer à un site baptisé Police Nationale (portail privé et non officiel). Il va tenter de motiver les adolescents présents sur l’IRC des Anonymous « Gilet Jaune »  d’attaquer BFM TV.

Mais qui est donc ce Français qui motive à l’action

Dans ce petit groupe de « pirates » venus des 4 coins du globe (d’autres pirates, dont celui du site Euro Palestine, se dit Israélien), on croise aussi quelques Français, surtout des curieux.

Très certainement aussi quelques policiers du renseignement et « Le Gang des Patrick », des internautes souhaitant « manifester » leur désaccord face aux amateurs de DDoS. Un « gang » qui a réussi à collecter une soixantaine d’IP différentes de Français venus « s’encanailler », voir participer à des attaques ! Comme je vous le disais dans l’article du 10 décembre, un sacré capharnaüm.

Derrière tout ce petit monde, un administrateur du Channel IRC étonnant. Son nom pseudonyme : SeamyMSG. Un internaute connu pour avoir eu des démêlés avec la justice, en 2015, lors de l’opération Anti Nucléaire #opGII.

J’ai assisté à des conversations, entre cet internaute et des « utilisateurs » du chan IRC, dès plus étonnantes. Certains n’hésitant pas à lui imputer la diffusion des 3 bases de données diffusées la semaine derniére : Alliance police, OTAN/DEF et ENAP. Rien ne prouve qu’il en est l’instigateur. D’autres venant le citer ouvertement. Ou encore, des participants souhaitant savoir comment « aider » ! Un homme qui aurait fui la France, selon ses dires.

Le Chan IRC où tout se « prépare » et se diffuse !

Charity business !

Bref, d’un côté des manifestants « honnêtes », cherchant un moyen de se faire entendre sur le web, de l’autre des manipulateurs/commerçants du black market, sautant sur la première manifestation qui passe de part le monde (France, Pérou, Brésil…).

A noter que pour le Pérou, l’attaque était lancée en parallèle de celle de l’hexagone. Cette manifestation « andine » ne semble pas avoir été guidée par un mouvement politique spécifique.

Maintenant, derrière ces « Anonymous », ces rois du DDoS, rien n’empêche de penser qu’il y a « peut-être » des manipulations effectuées par des groupes politiques et/ou étatiques trouvant dans ce désordre ambiant de quoi perturber un pays !

L’existence de multiple campagnes d’hacktivistes internationaux témoigne de l’existence d’une articulation entre des groupes de nationalités différentes souhaitant contribuer à des actions offensives contre des cibles transnationales en guise de protestation contre les gouvernements locaux… ou pour capitaliser sur leurs outils et business !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr - Journaliste - Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. En savoir plus : https://www.damienbancal.fr

Articles connexes