La cyber-guéguerre des places de marché du dark web russe

La fermeture de la place de marché russe Hydra vient de connaître un effet de bord inattendu. Ses successeurs ont en effet commencé à se pirater les uns les autres afin de conquérir des parts de marché, et d'en récupérer tant les revendeurs de drogues que les clients.

La saisie par les autorités allemandes, à la demande de la justice américaine, l'an passé, de la place de marché russe Hydra, dont le co-fondateur avait de son côté été incarcéré en Russie, est en train de faire imploser l'écosystème du dark web russophone. 

Ce vendredi 13 janvier, Solaris, l'une des plus importantes places de marché de vente de drogues russophones, a en effet été piratée par sa rivale Kraken (qui n'a rien à voir avec la plateforme d'échange de crypto-actifs kraken.com, ndlr), sur fonds de guerre de gangs faisant suite à la fermeture du géant Hydra en avril 2022.

• La police saisit Hydra, la plus grosse des plate-formes du « dark web »
• « Dark web » : l'hébergeur d'Hydra trahi par ses factures

La plateforme d'analyse de blockchains criminelles Elliptic estime qu'Hydra aurait facilité plus de 5 milliards de dollars de transactions Bitcoin depuis décembre 2015. Ce qui donne une idée des enjeux financiers poussant les plateformes à tenter de récupérer ses clients et dealers.

Elliptic, qui raconte cette prise de contrôle, estime que Solaris représentait de 20 à 25 % des parts de marché du dark web, et avait traité environ 150 millions de dollars de ventes de drogues et d'autres biens et services illicites depuis sa création.

Crédits : Resecurity

Solaris était affiliée au groupe de cyber-piratage pro-Kremlin Killnet depuis le début de la guerre en Ukraine. Créée aux alentours de mars 2022 et dirigée par un certain « KillMilk », on lui attribue de nombreuses attaques par déni de service (Dos) distribué (DDoS) contre des entreprises et administrations occidentales, ainsi que durant la performance du groupe ukrainien pendant le concours Eurovision 2022, où il s'était attaqué au ministère de la Défense et au Sénat italiens, ainsi qu'à l'automobile club du pays :

« KillMilk n'a pas caché l'affiliation du groupe à Solaris, qui est à l'origine de plus de 44 000 dollars en bitcoins vers les portefeuilles de dons de Killnet. Solaris et Killnet ont tous deux été impliqués dans le piratage du forum Rutor en 2022, longtemps considéré comme un rival politique en raison de sa perception plus pro-ukrainienne. »

Estimation par Elliptic Investigator des dons en bitcoins de Killnet depuis Solaris. Crédits : Elliptic

Elliptic explique que les problèmes de sécurité de Solaris ont commencé en décembre 2022, lorsque le hacker ukrainien Alex Holden a révélé à Forbes qu'il avait trouvé une faille dans Solaris et qu'il en avait profité pour effectuer un virement de 1,6 bitcoins (soit 25 000 $) à Enjoying Life, une organisation humanitaire et caritative ukrainienne.

Holden avait fui l'Ukraine adolescent suite à la catastrophe de Tchernobyl, et trouvé refuge aux États-Unis. Depuis, il y a créé une entreprise de surveillance du dark web, Hold Security. Il avait initialement refusé de détailler la faille qu'il avait identifiée. 

Guerre à la drogue VS guerre à l'Ukraine

Il n'en avait pas moins précisé à Forbes qu'il avait « pu prendre le contrôle d'une grande partie de l'infrastructure Internet de Solaris, d'un certain nombre de comptes d'administrateurs de Solaris, du code source du site Web et d'une base de données de ses utilisateurs, ainsi que des points de chute pour les livraisons de drogue » : 

« En rendant l'affaire publique via Forbes, il veut effrayer les propriétaires pour qu'ils ferment le site. L'attaque a également une dimension politique. "Peut-être que les Russes sans leurs drogues regarderont sobrement leur pays et feront quelque chose", a-t-il déclaré. "Peut-être que le Kremlin ne défendra pas le commerce de drogue de son pays et réglera les problèmes de drogue au lieu d'envahir l'Ukraine. Peut-être que la rupture de cette connexion éliminera un peu de carburant du feu d'ordures de Killnet." »

À l'époque, Solaris avait contesté les affirmations de Holden en critiquant le manque de preuves. Elliptic estime « probable que les discussions sur cette faille de sécurité ont conduit à une augmentation des tentatives des autres rivaux de Solaris d'identifier les vulnérabilités de ses systèmes », et note que « la violation qui a entraîné la fermeture du site s'est produite seulement 22 jours plus tard, le vendredi 13 janvier ».

Or, le 12, Alex Holden publiait sur son site web un article revenant sur sa propre prise de contrôle de Solaris : 

« En juillet 2022, Hold Security a obtenu un accès privilégié à l'infrastructure Solaris. Cette infrastructure était non seulement complexe, mais moderne et mature. Leur sécurité était nettement supérieure à la moyenne. Récolter des informations sur les menaces à partir d'une plate-forme de drogue n'est pas simple, mais à ce jour, nous avons réussi à rester partiellement invisibles pour ce groupe malveillant. »

Afin de fournir aux chercheurs en cybersécurité les informations et les outils nécessaires pour enquêter plus avant sur ce groupe, Holden publiait également plusieurs méga-octets de données extraites « d'une grande partie » de l'infrastructure de Solaris.

Y figurent des clefs SSH, le code source de son système anti-DDoS, les clefs des services cachées onion, les données des conteneurs Docker et SQL des boutiques Solaris, ainsi qu'une sauvegarde de leurs communications publiques et privées, que Holden rend publiques afin d' « attirer l'attention sur sa plate-forme encore vulnérable » : 

« Dans plusieurs déclarations publiques, le groupe Solaris s'est lié à Killnet. Notre objectif est de sensibiliser aux méfaits et aux relations de Solaris, ainsi que de soulever des questions sur les dirigeants de Killnet et les sources de ceux qui le soutiennent. Les données liées dans cet article devraient parler d'elles-mêmes. »

Stocker vos mots de passe en clair est une grosse erreur

Elliptic ne précise pas s'il y aurait un lien entre la publication de ces données et le piratage de Solaris, mais note que, le 13 janvier, les internautes cherchant à y accéder étaient redirigés vers Kraken, l'un de ses rivaux, pourtant lui aussi « considéré comme pro-Kremlin ».

Un message de Kraken précisait qu'ils avaient pris le contrôle de Solaris grâce à la mauvaise sécurité opérationnelle de ses administrateurs (qui auraient stocké les mots de passe et clefs « en clair ») en trois jours sans qu'ils ne s'en aperçoivent, laissant entendre qu'ils n'auraient pas attendu la mise en ligne des données par Alex Holden. 

Kraken a également annoncé que les portefeuilles Bitcoin de Solaris avaient été désactivés, ce que les données internes d'Elliptic ont pu confirmer, aucune activité n'ayant été enregistrée sur les adresses Bitcoin affiliées à Solaris depuis le 13 janvier.

Kraken, « le successeur d'Hydra » ?

Début janvier, la société Resecurity estimait qu'une dizaine de places de marché se disputaient les cendres de Hydra. Solaris arrivait en 5e position, avec 60 000 utilisateurs inscrits, contre 6 500 pour Kraken, qui y figurait à l'avant-dernière place.

Crédits : Resecurity

Resecurity précisait cela dit que Kraken n'avait été lancée que fin décembre 2022, ce qui ne l'empêchait pas de dénombrer d'ores et déjà plus de 1 720 boutiques, probablement parce qu'elle émanait des fondateurs de la seconde plateforme la plus importante du classement, WayAway, qui bénéficient d'une importante réputation dans le monde du Dark Web, et qui la présentent comme « le successeur d'Hydra » :

« Les rôles et responsabilités des opérateurs sont semblables à ceux d'Hydra, mais semblent plus avancés. Par exemple, il y a au moins 3 opérateurs responsables de la sécurité du projet, ainsi que plus de 15 modérateurs. Au total, on a identifié au moins 80 acteurs impliqués dans la gestion de Kraken. Selon une déclaration des fondateurs de WayAway, responsables du lancement de Kraken, la place de marché vise à devenir la meilleure de sa catégorie et à fournir "la plateforme décentralisée la plus sûre" du Dark Web. »

Crédits : Resecurity

WayAway et Kraken avaient été placés sur la liste noire de Solaris

Resecurity, qui présentait alors Solaris comme « l'un des acteurs les plus importants de la vente de drogues sur le Dark Web », avec 3 840 boutiques enregistrées, soulignait également qu'elle venait tout juste d'entrer « en conflit direct » avec WayAway et Kraken : 

« Le 28 décembre 2022, l'un des modérateurs de Solaris, dont l'alias est "Juri", publie une déclaration : "WayAway et Kraken ont été placés sur la liste noire de Solaris, et tous les vendeurs y ayant un compte doivent supprimer leur profil, sinon les administrateurs appliqueront des sanctions strictes à leur encontre." »

Resecurity notait également que les tensions croissantes entre Solaris et WayAway s'étaient aggravées avec l'apparition, ce même mois de décembre 2022, d'accusations de vols d'argent chez Solaris, que ses administrateurs avaient contestées. 

Resecurity ne mentionne pas le hack d'Alex Holden, mais le fait que ces accusations « fausses » aient eu un caractère « géopolitiques » cadre tout à fait avec le détournement du hacker ukrainien.

Une « coalition pour monopoliser le marché » du far west russe

Resecurity relevait également que dans la guerre de gangs ayant fait suite à la saisie d'Hydra, Killnet venait, elle aussi, de pirater Blacksprut (qui, fort de 12 000 utilisateurs inscrits, figurait en avant-dernière position de son classement), et dont Killnet avait mis un dump complet à vendre pour 250 000 dollars : 

« Le groupe a publié plusieurs comptes (vraisemblablement compromis) d'utilisateurs enregistrés sur la plateforme Blacksprut et a publié les communications et les captures d'écran de certains utilisateurs. »

Les auteurs de l'attaque contre Blacksput avaient en outre menacé les administrateurs de divulguer leurs identités, ainsi que de rendre publiques des opérations sensibles entre acheteurs et vendeurs.

Crédits : Resecurity

En réponse, Blacksprut avait expliqué sur Telegram que le piratage avait été fabriqué de toutes pièces et que les pirates avaient mis en ligne des comptes précédemment hameçonnés afin de semer la panique pour nuire à leur activité. 

Cette « guéguerre » aurait commencé après la création par RuTor et OMG!OMG ! d' « une coalition pour monopoliser le marché », explique Resecurity, offrant une prime pouvant atteindre 10 % aux vendeurs qui y relocalisaient leurs boutiques en ligne.

Les plateformes rivales ont alors commencé à s'attaquer entre elles au moyen d'attaques DDoS durant l'été dernier, agrémentées d'attaques informationnelles.

Un membre de Solaris avait ainsi accusé RuTor d'être une émanation du SBU, le successeur de la section ukrainienne du KGB soviétique (ce qui n'a jamais été démontré, au demeurant). Dans la foulée, Killnet avait attaqué Rutor et réussi à l'escroquer d'un million de roubles (14 500 dollars au cours actuel, ndlr).

Solaris avait de son côté détourné les noms de domaine de RuTor qui, pas en reste, avait lui-même piraté son principal concurrent, WayAway, exhibant les discussions internes de ses utilisateurs, et moquant les compétences de ses administrateurs...

Il est donc plausible que nous soyons amenés à devoir nous repencher sur ces duels et braquages de cowboys pirates à la conquête de ce far west dark web russe.