Dans la boîte à outils de l’armée informatique ukrainienne

Comme VPN, privilégiez CyberGhost. C’est l’armée informatique d’Ukraine qui le dit. Un conseil adressé à quiconque voudrait accompagner son effort offensif contre la Russie.

En façade, cet effort se traduit essentiellement par des attaques DDoS. L’IT Army les orchestre par thématiques. Les médias russes furent rapidement dans son collimateur, suivis de l’administration publique, des équipementiers militaires, des banques, etc. jusqu’à, dernièrement, des transporteurs et des logisticiens.

L’IT Army recommande sept autres VPN. Nommément, Atlas VPN, ClearVPN, F-Secure Freedom, Hotspot Shield, ProtonVPN, Urban VPN et VPN Unlimited. Elle y ajoute cinq fournisseurs de VPS : Amazon (AWS), DigitalOcean, Google Cloud, Hertzner et Microsoft (Azure).

La solution VPS est effectivement conseillée pour exploiter au mieux la « panoplie DDoS » de l’armée informatique ukrainienne. Les outils dont elle se compose « ont chacun leurs avantages : choisissez celui qui fonctionne le mieux pour vous ». Pour tous, une promesse : pas besoin de paramétrer les cibles, automatiquement synchronisées depuis les serveurs de l’IT Army.

Trois générateurs de DDoS

Dans la toolbox, il y a Distress, un outil de pentesting écrit en Rust. Par défaut, il utilise des proxys. On peut toutefois y substituer des VPN et éventuellement y coupler des nœuds Tor.

Deuxième outil DDoS : db1000n (Death by 1000 needles). Écrit en Go, il génère du trafic à partir d’un fichier de configuration local ou distant. On peut paramétrer, entre autres, l’intervalle entre les attaques, la remontée d’informations vers Prometheus et la mise à jour automatique.

Le script Python MHDDoS fait aussi partie de l’arsenal. Au menu, une cinquantaine de techniques d’attaque sur les couches 4 et 7, avec répartition automatique de la charge.

Tous ces outils peuvent s’installer individuellement sur Windows, Mac et Linux ; avec, pour la plupart, des versions Arm. Il existe aussi un installeur « universel » (UkITA) pour Windows. Il implique néanmoins de désactiver l’antivirus le temps de l’installation et de modifier la liste d’exclusions. Et éventuellement d’ignorer les alertes SmartScreen.

Sur Android, cela se passe dans Termux. Mais pas la version officielle disponible sur le Play Store, non prise en charge car causant des erreurs.

Des bots Telegram en complément

À ces outils s’ajoutent des bots Telegram. Ils permettent :

– De recommander des cibles
– D’automatiser les attaques en communiquant les authentifiants des serveurs sur lesquels on a déployé les outils
– D’obtenir des statistiques à partir d’un identifiant unique qu’on aura récupéré et intégré dans les requêtes (paramètre –user-id sur db1000n, MHDDoS et Distress ; champ dans l’installeur UkITA)

L’IT Army est aussi sur Discord. Par exemple avec un salon dédié au support d’UkITA. Sa présence en ligne englobe aussi Twitter et Instagram (un seul post, néanmoins, sur ce dernier). Elle demeure sur Telegram, même si son handle a changé à plusieurs reprises depuis le début de ses activités il y a un an.

Activités dont on constate, à la lumière de ce Telegram, qu’elles vont bien au-delà du DDoS. Elles touchent par exemple au blocage de comptes GitHub de développeurs russes, au signalement de chaînes YouTube diffusant de fausses informations, à la pression sur les entreprises pour qu’elles arrêtent de commerce avec la Russie… et au vol de données.

Sur ce dernier point, l’armée informatique d’Ukraine affirme compter à son tableau de chasse, entre autres :

– Mots de passe (chiffrés) origine Gazprom
– Données de membres de la plate-forme de volontariat civique Dobro
– Transactions financières de la défense russe
– Preuves de crimes de guerre récupérées auprès de la branche jeune du parti politique Russie unie
– Informations à propos de mercenaires recrutés dans le pénitentiaire russe via la plate-forme Wagner Group

Photo d’illustration © natatravel – Adobe Stock