Voleurs et geeks: communautés de piratage russes et chinois

L'équipe d'Insikt Group (projet Recorded Future) a exploré les possibilités, la culture et les principes d'organisation des communautés de piratage chinois et russes. Pour ce faire, les gars ont analysé les publicités, créé des comptes fictifs et parlé avec les participants dans les forums de piratage.

Recorded Future - la société suit tout ce qui se passe sur Internet en temps réel. Prédit et analyse les cybermenaces. Il fonctionne avec le soutien de la CIA et de Google.

Si vous êtes intéressé par la culture des hackers: ce qui motive leurs actions, comment les communautés fonctionnent et où s'attendre à des menaces, lisez notre extrait de l'étude du groupe Insikt. Serré le plus intéressant + nos réflexions sur ce sujet.

Comme l'a souligné le groupe Insikt, le plus souvent, nous parlons des pirates comme une masse abstraite. Mais en réalité, dans cet environnement, il existe plusieurs communautés très différentes avec leur propre histoire, leurs motivations et, si vous le souhaitez, leur code. Les hackers de chaque pays sont uniques. Souvent, les chercheurs n'en tiennent pas compte - ils parlent de tout à la fois ou distinguent les Russes.

Les employés du groupe Insikt ont comparé les leaders du monde cybercriminel: les russes et les chinois. Et ils ont commencé avec leur histoire.

Patriotisme ou argent - histoire et motifs

Pirates informatiques russes - l'esprit du vol

Comme l'a noté le groupe Insikt: bien que les groupes chinois et russes de hackers viennent d'États autoritaires similaires, leur apparence et leurs motivations sont différentes.
Les cybercriminels russophones valorisent l'argent en premier lieu, bien que le phénomène du piratage financier soit né aux États-Unis.

L'un des premiers forums de piratage - Counterfeit Library - est apparu en 2000 et s'adressait à la communauté anglophone. En réponse, 20 Ukrainiens ont créé le Sommet d'Odessa, qui est devenu par la suite l'alliance russophone Carders ou Planet Carders. Le forum s'est distingué par une hiérarchie stricte de modérateurs qui ont soigneusement vérifié tous les fournisseurs de codes CVV, de comptes eBay, de skimmers, etc. Les escrocs occidentaux ont adopté cette expérience d'organisation communautaire et créé ShadowCrew. Quelques années plus tard (en 2005), le marché Carders est apparu, où les pirates occidentaux et orientaux pouvaient conclure des accords entre eux.

Page d'accueil de Counterfeit Library, l'un des premiers forums pour les cardeurs et autres escrocs

Lorsque les cybercriminels en Russie et en Chine commençaient à peine à s'unir dans les communautés, le FBI les chassait déjà en Amérique. La preuve en est des opérations de haut niveau telles que Shrouded Horizon, Firewall et l'élimination de DarkMarket.

Les hautes technologies ont atteint la Russie et d'autres pays de l'ex-URSS au début des années 2000. Puis il y a eu un boom de la fraude sur Internet. En raison du faible salaire, des gens instruits et techniquement avertis sont devenus des pirates informatiques.

Peter Levashov, alias Severa - a distribué de faux logiciels antivirus. Il a transformé l'ordinateur de la victime en une partie des tristement célèbres réseaux de zombies Waledac et Kelihos.

Evgeny Bogachev a développé le cheval de Troie spécial ZeuS. Avec son aide, JabberZeuS, Business Club et d'autres communautés criminelles ont réussi à voler plus de 200 millions de dollars aux institutions financières des États-Unis et de la Grande-Bretagne.

Pirates chinois - l'esprit de patriotisme

Si les Russes étaient motivés par l'argent, alors les Chinois s'unissaient sur le fond du patriotisme. Afin de ne pas répéter le «siècle de l'humiliation» - la période où les grandes puissances étrangères ont forcé la Chine à signer des traités inégaux, des concessions et des guerres de l'opium provoquées (XIX - début XX siècles).

Au milieu des émeutes anti-Chine en Indonésie dans les années 1990, les utilisateurs ont créé des forums, des groupes de médias sociaux et des babillards électroniques. Ils ont discuté des actions de défiguration contre les sites Web du gouvernement en Indonésie ( Deface est un type d'attaque qui remplace le contenu de la page principale d'un site et bloque l'accès à d'autres pages. Note trad. ). En conséquence, les premiers groupes de hackers chinois sont apparus: la Green Army, la China Eagle Union et la Hongke (ou Honker) Union. Ils ont participé aux premières attaques contre les États-Unis et d'autres opposants à la Chine.

L'un des plus connus: l'attaque DDoS sur les sites Web de la Maison Blanche et de grandes sociétés américaines - un mois après la collision entre un avion de reconnaissance américain et un chasseur chinois au-dessus de l'île de Hainan.

Le résultat de la déformation du site américain par le groupe Hongke (Honker) Union

Les hackers modernes sont toujours de l'argent et du patriotisme

Aujourd'hui, les pirates russes sont également de l'argent important, et le patriotisme chinois. Mais depuis l'émergence de ces communautés, beaucoup de choses sont devenues plus compliquées: l'organisation de forums, la promotion à l'étranger et les relations avec les autorités. Nous avons regroupé les principales conclusions du groupe Insikt en points - c'est ce qui s'est produit:

Argent ou communauté

Pour les Russes , bien sûr, de l'argent. Il y a peu de place pour l'amitié sur leurs forums. Ce sont plus de ressources commerciales que de plateformes de communication. Les pirates les plus performants gagnent le respect et la confiance: plus d'offres - meilleure note. N'y a-t-il pas d'institut darknet et de mentorat dans ce coin - pour former quelqu'un sans motivation financière claire?

Mais si les pirates russes sont des hommes d'affaires, les hommes d'affaires sont bons, orientés client. Les gros cardeurs retournent des fonds pour les cartes refusées. Les vendeurs de chevaux de Troie et de courrier indésirable organisent des remises et des ventes pour les fêtes. Et les hébergeurs pare-balles transfèrent des récompenses à leurs clients pour attirer des références. Ils apprennent le marketing auprès des plus grandes sociétés, qui attaquent ensuite.

Les forums de piratage chinois , en revanche, sont imprégnés d'un esprit communautaire. Cette culture est bien véhiculée par le terme «esprit geek» (极 客 精神) - se réfère aux personnes techniquement éduquées qui espèrent créer une société idéale. Parfait? Une société plus juste? Il y a peu de contexte, mais l'idée de combien les Chinois sont geeked à la communauté est claire.

Les gens sur les forums louent sincèrement les merveilleux skimmers, codeurs et renifleurs. Ils remercient personnellement les vendeurs et partagent activement leurs commentaires pour l'amélioration des produits. Pour maintenir la communication, les Chinois fixent des exigences particulières. Si vous décidez d'acheter ou de vendre des logiciels malveillants, contactez la contrepartie via un commentaire ou un message personnel. Si vous souhaitez conserver votre adhésion, soyez un utilisateur actif et communiquez quotidiennement avec les autres membres. Ces militants sont même encouragés par la monnaie intra-forum. Et aussi un système de gamification fonctionne pour s'engager dans la communauté.


Message du forum. Pour accéder au logiciel qui copie les signatures numériques, vous devez répondre


Articles de soutien sur le forum: les auteurs remercient l'utilisateur d'avoir partagé l'accès au programme qu'il a créé

Tout est en ordre ici avec la formation. Les Chinois promeuvent des programmes spéciaux: des pirates informatiques expérimentés forment de nouveaux arrivants pour de l'argent et les prennent également en charge - pour une plus grande implication dans la communauté.

De l'éditeur:
À propos des chinois, bien sûr, cela semble super cool. Même en quelque sorte, vous oubliez qu'ils gagnent également de l'argent en piratant. Et les auteurs de l'étude mentionnent nonchalamment les frais de scolarité d'une manière ou d'une autre. Comparez: sur l'apprentissage des Russes - « ... peu de membres russes du forum sont prêts à enseigner quoi que ce soit à quelqu'un sans un avantage financier clair. "Et parmi les Chinois", les pirates chinois annoncent des demandes de programmes d'apprentissage sur des forums similaires, où un pirate plus expérimenté enseignera à un apprenti moyennant des frais, en répartissant le travail entre les membres en fonction du niveau de compétence. ". Autrement dit, "les Russes n'enseignent pas aux nouveaux arrivants (gratuitement)" et "les chinois enseignent aux débutants (pour de l'argent)" - hmm ... Eh bien, le contexte s'aggrave: les Russes font de l'argent, les Chinois construisent une communauté.

Hacktivisme et relations avec les autorités

Bien que les premiers groupes de hackers chinois se soient séparés, leur cyber-patriotisme a jeté les bases de relations étroites entre l'Etat et les hackers. Certains participants au forum ont même été embauchés par des agences gouvernementales. Maintenant, certains d'entre eux travaillent au sein du gouvernement et d'autres dirigent des sociétés informatiques.

De nombreux sites de piratage patriotique se sont ensuite transformés en forums de cybersécurité. Mais pas tous. Comme le montrent les événements récents, lorsque ce qui s'est produit dans la région de l'Asie de l'Est provoque un tollé général, les hacktivistes chinois réintègrent la scène.

En 2012, la Chine a déclaré sa souveraineté sur les îles Diaoyu. Après des conflits diplomatiques actifs avec le Japon, le pays avait besoin de soutien. Et sur le forum de l'Union de Hongke (8 ans après la dissolution officielle du groupe), une publication est apparue avec des objectifs potentiels pour la dégradation, les 300 étaient des organisations japonaises.

En 2014, la Chine a installé une plate-forme de forage dans les eaux territoriales du Vietnam, suivie d'une série de pogroms chinois. En réponse, un nouveau groupe de hacktivistes de 1937CN a compromis un certain nombre de sites vietnamiens. En 2016, ils ont piraté les systèmes d'enregistrement des aéroports vietnamiens et publié des données personnelles de plus de 400 000 passagers. Vraisemblablement parce que le Vietnam a déployé des lance-roquettes sur les îles contestées de la mer de Chine méridionale.

Il est difficile de déterminer avec certitude à quel point les actions de ces pirates sont indépendantes. Le code malveillant utilisé lors de l'attaque de 1937CN contre les aéroports vietnamiens a également été utilisé dans une campagne plus vaste - le cyberespionnage contre le Vietnam. Le sponsor présumé est le gouvernement chinois.

En général, de nombreux hackers chinois ont admis avoir fourni des services à des agences nationales de renseignement et à des organisations militaires (comme le Ministère de la sécurité d’État et l’Armée populaire de libération).

Cependant, le groupe 1937CN a définitivement démontré des éléments de hacktivisme. Par exemple, 1937CN a son propre compte sur le portail de la zone-H deface, comptes dans divers réseaux sociaux. réseaux associés à leur site, et même une vidéo promotionnelle mise en ligne sur l'hébergement vidéo populaire en juillet 2017: plusieurs personnes en cagoules et masques par Guy Fawkes.

Les Russes ont également joué le rôle de vengeurs du peuple plus d'une fois. Les victimes de ces attaques étaient l'Estonie, la Géorgie et d'autres États / fonctionnaires et des particuliers considérés comme hostiles à la Fédération de Russie.

Lorsqu'un monument aux soldats soviétiques a été démantelé en Estonie, le groupe de jeunes pro-Kremlin Nashi a publié un script bash DDoS sur LiveJournal qui a attaqué une liste spécifique de PI estoniens. Grâce à cela, tout citoyen concerné peut participer à la lutte.

Pendant la brève guerre russo-géorgienne, une attaque DDoS (botnets BlackEnergy) a été lancée simultanément avec l'avancée des chars russes. Selon une source, le pirate Pyotr Levashov (Severa) a envoyé du spam avec des informations non confirmées selon lesquelles le Kremlin, Mikhail Prokhorov et des pirates de la communauté civile antiterroriste ont attaqué des sites de combattants tchétchènes et islamistes.

Données de l'étude "Attaques DDoS à motivation politique" d'Arbor Networks (une grande entreprise américaine qui vend des solutions de protection DDoS et d'autres solutions de sécurité. Note. Trad.).

L'attitude des autorités envers les pirates informatiques en Russie, ainsi qu'en Chine, est assez fidèle. Arbor Networks a même distingué des pirates informatiques soutenus par le Kremlin: Karim Baratov et Alexei Belan. Les chercheurs pensent que ces pirates ont été recrutés par le FSB pour diriger le piratage de Yahoo en 2014.

Quant aux autres cybercriminels, russes et chinois , pour rester libres, ils doivent respecter une loi non écrite: n'allez pas à l'encontre de la vôtre. Pour les Russes, cela inclut les résidents de la CEI. De plus, il est possible pour les Russes de tester les développements sur leurs concitoyens. ( On ne sait pas très bien ce que les auteurs avaient en tête: puis-je écrire un cheval de Troie et le tester sur Yandex? Ou s'agit-il de petites entreprises et de propriétaires privés? En tout cas, il n'y a pas assez de preuves. Note. )

Ainsi, Dmitry Fedorov, alias «Paunch», a distribué des logiciels malveillants dans le monde entier via Blackhole, un programme propriétaire. Cependant, il n'a été détenu qu'après la vente de Blackhole pour être utilisé dans les chevaux de Troie Carberp, dont les victimes étaient des Russes.

Pavel Vrublevsky, propriétaire du service de traitement russe ChronoPay, a fourni des services de blanchiment d'argent provenant de la vente de drogues illicites et de faux antivirus. Cela ne dérangeait pas le gouvernement russe. Mais lorsqu'il a ordonné une attaque DDoS contre Assist (un système de paiement national), il a été immédiatement arrêté.

De l'éditeur:

D'après le texte, nous voyons que les Chinois sont réticents à fermer leurs pirates - plus souvent lorsqu'ils sont apparus dans des scandales internationaux majeurs. Cela semble être lié au concept de visage (面子）.

- Comprend gagner et maintenir le respect des autres. Une grande partie de la culture chinoise tourne autour de ce concept, surtout en ce qui concerne la famille et les affaires. La «perte de visage» est si terrible pour les Chinois qu'ils sont plus susceptibles de tricher que de parler honnêtement de leurs échecs et de leurs lacunes. Par exemple, les femmes chinoises seules, allant chez leurs parents pour les vacances, commandent souvent le service «marié à louer» pour masquer les échecs de leur vie personnelle.

Les chercheurs examinent le concept des visages, mais dans le contexte de la raison pour laquelle les Chinois achètent de faux diplômes et des licences commerciales. Il semble que par rapport à l'État envers les pirates, ce concept s'applique également.

Organisation communautaire

Les forums criminels russes sont bien structurés: les escrocs et les pirates opèrent sur différentes plateformes. Les Chinois ne le font pas - maximum de sections différentes. Cela confirme une fois de plus que les Russes se concentrent sur la réalisation de bénéfices et les Chinois sur la création d'une communauté.


Le menu du site vendant des médicaments avec la section Hacking, à côté des sections Mushrooms et LSD

La division en forums ouverts, semi-privés et fermés se fait dans les deux pays. Plus la ressource est inaccessible, plus les produits sont complexes et meilleurs. Dans les espaces ouverts, il suffit de s'inscrire. En semi-privé - faites un droit d'entrée d'environ 50 $ ou confirmez l'adhésion à d'autres ressources. Pour accéder à des forums privés - trouvez une caution parmi les membres actuels et / ou confirmez l'authenticité de leurs produits.

Il y a des exigences spécifiques. Dans certains forums russes, comme Exploit, seuls les utilisateurs avec un certain nombre de publications ont accès à un contenu plus précieux. Et certains groupes de hackers chinois dans QQ et WeChat ne sont promus que dans des forums semi-privés. Donc, pour entrer dans le groupe, vous devez d'abord accéder au forum.

Les forums russes et chinois prennent en charge la fonctionnalité de liste noire. Les utilisateurs fournissent la preuve qu'ils ont reçu du matériel de mauvaise qualité ou franchement faux, et les administrateurs, après avoir vérifié ces informations, ajoutent le fournisseur à la liste des interdictions.


kidala.info est un site dédié aux hackers frauduleux. Il y en a 15 839 sur le site, et ce nombre augmente

L'accès à la plupart des forums russes est ouvert. Lorsque des outils sont nécessaires pour contourner les verrous, les miroirs Tor sont le plus souvent utilisés. En Chine, il existe un régime de censure strict - depuis 2000, le projet Golden Shield ou le Great Chinese Firewall est en opération. Dans un premier temps, l'objectif du projet était d'introduire les dernières technologies pour lutter contre la criminalité, puis - de limiter l'accès des citoyens chinois au contenu que l'État considère inapproprié ou offensant.

Le Great Firewall sait même comment détecter et interrompre les connexions sortantes au réseau Tor - et cela complique l'accès aux forums internationaux et aux plateformes de trading pour les cybercriminels. La dernière façon de sauter par-dessus ce mur est d'utiliser un VPN. Mais depuis 2017, l'État a introduit la licence obligatoire des services VPN, et beaucoup d'entre eux ont fermé. Visiter des portails de piratage internationaux est devenu encore plus difficile.

De l'éditeur:

En général, l'organisation de la communauté entre Russes et Chinois est très similaire. Mais le grand pare-feu - une triste ironie - frappe les pirates chinois, malgré leur hacktivisme et leur loyauté envers l'État.

Promotion des services à l'étranger

On se souvient que les hackers russes sont avant tout intéressés par l'argent. Il n'y a pas de grand pare-feu et ils vendent activement leurs services à l'étranger. Ils publient en russe et en anglais, vendent des bases de données et des cartes de crédit de résidents de tous les pays.

Il n'est pas facile pour les pirates chinois de percer avec leurs produits à l'étranger à cause du Great Firewall. Par conséquent, ils développent leurs propres communautés: créent des forums de piratage plus ouverts et facilement accessibles sur Internet local, et développent des groupes basés sur les premiers forums patriotiques. Ils utilisent également activement les chats et les forums privés dans les messageries instantanées et les réseaux sociaux populaires: QQ, Baidu et WeChat.

Si les Russes vendent des données de personnes et d'entreprises de tous les pays, alors les forums chinois ont beaucoup plus de données chinoises. Et vous ne les trouverez pas sur des sites étrangers.

Pourquoi les Chinois ne déversent-ils pas de données à l'étranger? Il y a plusieurs raisons suggérées:

• il est difficile d'utiliser les informations - vous devez connaître et comprendre les réalités locales;
• peu pratique à utiliser des produits - axé sur les Chinois, la fonctionnalité et les principes de travail diffèrent de leurs homologues occidentaux;
• la barrière de la langue fait obstacle.

Ainsi, les Chinois adorent développer leur communauté, et lorsque le grand pare-feu est arrivé et qu'ils ont eu des difficultés à accéder au marché étranger, ils ont commencé à développer leur communauté plus activement. C’est vrai, mais maintenant, les chercheurs observent la tendance inverse. Le Great Firewall ne permet pas de vendre des services dans leur propre pays - les Chinois tentent de percer à l'étranger. Preuve en est - les messages chinois sur les forums russes et anglais.

Il s'avère que le gouvernement pousse littéralement les pirates chinois à l'étranger. Et, comme nous nous en souvenons, ils s'y rendent avec des données uniques sur les citoyens et les entreprises chinoises, ainsi que des moyens de pirater les ressources chinoises. Eh bien, la communauté internationale des cybercriminels a désormais plus de possibilités d'attaquer des cibles en Chine, de voler des comptes et d'autres données.


Répartition des messages des forums individuels sur les langues, données Recorded Future

De l'éditeur:

Voyez-vous les barres jaunes à droite? Et je ne vois pas, mais ils sont là.

Conclusions

Les chercheurs du groupe Insikt pensent que les Russes continueront de se concentrer sur l'argent, tandis que les Chinois réagiront vivement aux événements politiques.

Surtout, les Russes devraient avoir peur de leurs méthodes sophistiquées et de leurs tactiques particulières. Ces gars-là veulent gagner tout l'argent du monde, et sous l'égide de l'organisation de tous les pays.

Quant aux Chinois, le groupe Insikt estime que le gouvernement ne pourra pas fermer toutes les ressources de piratage. Et grâce à l'activité croissante des Chinois dans les forums internationaux, ils apprendront de l'expérience de leurs collègues.

Les auteurs vous conseillent de suivre les événements dans les forums clandestins, de voir quels produits sont actuellement populaires et de surveiller la situation politique (surtout si votre entreprise est en Asie de l'Est).

De l'éditeur:

Si vous êtes intéressé à lire sur les pirates russes, en 2016, une étude à leur sujet a été publiée par Kaspersky Lab - "Les pirates russes: ce qu'ils cassent, pour combien et pourquoi ils sont les meilleurs au monde . "

Quant au travail du groupe Insikt , je me souviens surtout que «les Chinois sont la communauté, les Russes sont l'argent». La pensée traverse tout le texte, et ce n'est pas un biais dans la compression - vous pouvez vous en assurer en lisant la traduction complète (soigneusement, nous avons gardé le style pseudoscientifique de l'original). Je ne sais pas pour vous, mais j'ai toujours le sentiment que les Chinois ne gagnent pas du tout le piratage. Peut-être avez-vous encore plus ce sentiment, car nous avons jeté un morceau sur le contenu des forums (ce qu'ils vendent) et les méthodes de paiement (pas très intéressant, mais il y a au moins la Chine et l'argent dans une phrase).

En général, les auteurs ne disent pas pourquoi ils considèrent que ce sont les hackers chinois et russes (russophones). À propos du fait que le leadership sur le marché de la cybercriminalité est une liberté éditoriale. Mais avec ce déséquilibre des Chinois entre l'argent et la communauté, la question «comment ont-ils pénétré les principaux pouvoirs des pirates informatiques» devient-elle encore plus urgente. Ou non - qu'en pensez-vous?