Ghost Security Group – Des hackers en guerre contre l'État Islamique
Si je vous dis qu’une ex-Miss Jordanie est devenue cyber-terroriste, vous allez buguer. Mais rassurez-vous, c’est l’inverse ! Elle combat les terroristes avec des pubs pour du Prozac ! Voici aujourd’hui, l’histoire de Ghost Security Group, qui est comme un film de Tarantino écrit par des geeks sous substances illicites et c’est exactement ce dont on avait besoin pour mieux comprendre cette décennie de hacktivisme complètement barrée.
Je vous avoue que quand j’ai découvert cette histoire il y a 10 ans, j’ai d’abord cru à un canular. Des hackers qui remplacent des sites de propagande ISIS (Etat Islamique) par des publicités pour des antidépresseurs et du Viagra ? C’était tellement absurde que ça ne pouvait qu’être vrai…
Ghost Security Group, ou GhostSec pour les intimes, c’est donc l’histoire d’une bande d’ex-militaires américains et de professionnels de l’IT qui ont décidé qu’Anonymous n’était pas assez structuré pour combattre efficacement le terrorisme en ligne, alors ils s’y sont collés ! Comme l’expliquait McKenzie Wark dans son Hacker Manifesto (à ne pas confondre avec celui de The Mentor) : “Les hackers créent la possibilité que de nouvelles choses entrent dans le monde. Pas toujours de grandes choses, ou même de bonnes choses, mais de nouvelles choses”. Et GhostSec, c’était définitivement quelque chose de nouveau.
Tout commence donc le 7 janvier 2015. Vous vous souvenez de Charlie Hebdo ? Moi, j’étais à Las Vegas pour le CES et comme des millions de personnes, ça m’a foutu la rage. Sauf que contrairement à nous, certains avaient les compétences pour transformer cette colère en action. C’est pourquoi des membres d’Anonymous, déjà habitués aux opérations de désobéissance civile en ligne, ont décidé que cette fois, il fallait faire plus que des DDoS ponctuels.
Anonymous avait lancé l’#OpCharlieHebdo avec cette déclaration : “Nous vous traquerons partout sur la planète, nulle part vous ne serez en sécurité. Nous sommes Anonymous. Nous sommes légion. Nous n’oublions pas. Nous ne pardonnons pas. Ayez peur de nous, État islamique et Al-Qaïda, vous aurez notre vengeance”. Du bon gros style Anonymous qu’on connaît !
John Chase, l’un des futurs fondateurs de GhostSec, a expliqué plus tard que Charlie Hebdo était son point de rupture car le problème avec Anonymous, c’est que c’est génial pour mobiliser les foules, mais niveau coordination tactique, c’est le bordel total. Essayez un peu d’organiser une cyber guerre avec 4chan… Bref, vous voyez l’idée.
C’est là qu’intervient le concept de Ghost Security. Pas un nouveau groupe à proprement parler, mais plutôt une cellule spécialisée d’Anonymous, focus à 100% sur l’anti-terrorisme et leur idée c’est d’appliquer les méthodes hacktivistes avec la discipline militaire. Et croyez-moi, ça change TOUT. Comme l’a dit un membre de GhostSec sous le pseudo Ransacker : “Le FBI a admis à plusieurs reprises [son incapacité]. Alors, nous nous sommes impliqués dans #OpISIS pour ralentir considérablement ISIS sur le recrutement et la propagande. Nous voulions aussi pouvoir déjouer des attaques en collectant des renseignements et en les transmettant aux forces de l’ordre”.
Alors, qui compose cette dream team du hacktivisme ? Et bien il faut d’abord comprendre que GhostSec n’était pas votre collectif de script kiddies moyen. Non, ce sont des ex-militaires américains, des experts informatiques, et même des journalistes spécialisés. Les membres principaux étaient AnonCyberGost, WauchulaGhost, DigitaShadow, Comedianon, TorReaper, ISHunter, et GhostSecPI. Du bon gros level là-dedans !
Et il y avait une vraie division du travail dans le groupe. Certains membres s’occupaient de la collecte de renseignements pendant que d’autres “ghosts” se concentraient sur le côté technique de la chasse à ISIS. Un membre gérait les demandes médias et publiait même un site GhostSec Update sur Medium. Le projet était coordonné via des applications de messagerie chiffrées, des emails cryptés, et plus publiquement, sur Twitter.
Mais le personnage le plus fascinant, c’est sans doute Lara Abdallat. Ex-Miss Jordanie 2010, première dauphine Miss Monde Arabe 2011, musulmane convaincue et accessoirement l’une des hackeuses les plus redoutables de la planète. Elle rejoint GhostSec en novembre 2014, mais s’active vraiment après qu’ISIS ait brûlé vif le pilote jordanien Muath al-Kasaesbeh. Sa motivation comme elle l’écrira c’est que “Les gouvernements du monde entier n’en faisaient pas assez pour lutter contre la menace insidieuse que représentait l’État islamique.”
Lara maîtrisait parfaitement l’arabe, ce qui lui permettait de s’infiltrer dans les communications ISIS pour collecter du renseignement et je pense que ces terroristes ne s’attendaient pas à se faire piéger par quelqu’un qui avait défilé en bikini quelques années plus tôt. Le plus fort, c’est qu’elle est, encore aujourd’hui, la seule membre de Ghost Security Group dont l’identité a été rendue publique.
WauchulaGhost, lui, c’était l’artiste du groupe. Son truc c’est le defacement créatif. Il remplaçait les sites ISIS par des images de chèvres et des visuels pro-LGBTQ+. Son slogan : “Tout ce que je fais, c’est pour les gens… c’est un service gratuit”. Bref, un Robin des Bois numérique avec un sens de l’humour douteux, soit exactement ce qu’il fallait à cette cause. Plus tard, quand le groupe se divisera, il restera fidèle à l’esprit Anonymous sous le nom de #GhostofNoNation.
DigitaShadow, lui, était le cerveau tactique. Ex-militaire avec une compréhension fine des enjeux géopolitiques, il avait cette capacité rare de transformer la colère hacktiviste en stratégie cohérente. C’est lui qui développe les méthodes de collaboration avec les agences de renseignement… un concept révolutionnaire pour Anonymous à l’époque.
Les méthodes de GhostSec à l’époque étaient un mélange de techniques classiques et d’innovations tactiques. DDoS pour surcharger les serveurs ISIS, SQL injection pour compromettre leurs bases de données, defacement pour humilier publiquement leurs supporters. Mais leur vraie spécialité, c’était la collecte de renseignements. Et là, ils étaient forts !
Car contrairement aux Anonymous classiques qui font du bruit, GhostSec privilégiait l’infiltration discrète. Ils s’incrustaient dans les forums ISIS, interceptaient les communications, collectaient du renseignement afin d’identifier des attaques planifiées pour les transmettre aux autorités. Et ça fonctionne !!
Le processus était bien rodé… d’abord, ils signalaient le site à l’hébergeur. Si rien n’était fait, alors GhostSec passait à l’attaque d’abord en tentant de pirater le site, puis par DDoS en dernier recours. Les attaques de piratage incluaient l’injection SQL, les attaques XSS et les attaques par force brute. Le groupe revendiquait avoir supprimé plus de 57,000 comptes de réseaux sociaux et plus de 100 sites web utilisés par Daesh dès 2015. Selon certaines estimations, ils auraient réduit la capacité d’ISIS à diffuser son message en dehors de son public principal, réduisant la capacité de l’organisation à manipuler l’opinion publique et à attirer de nouvelles recrues.
En juillet 2015, ils interceptent des communications relatives à un attentat prévu sur un marché tunisien, un copycat de l’attaque qui avait tué 38 touristes dans un hôtel de bord de mer. L’info est alors remontée via Kronos Advisory Group (une boîte de sécurité privée dirigée par Michael Smith II) jusqu’au FBI et le résultat est plutôt satisfaisant puisque l’attentat est déjoué avec à la clé 17 arrestations. Pareil pour des projets d’attaques à New York…etc. GhostSec a probablement sauvé des vies sans que personne ne le sache jamais.
Mais l’anecdote qui restera dans l’histoire, c’est le hack du 25 novembre 2015 d’un site ISIS sur le dark web, probablement un WordPress mal sécurisé (ça c’est du classique !). GhostSec y pénètre et remplace tout le contenu par… une publicité pour CoinRX.com, une pharmacie en ligne vendant du Prozac et du Viagra.
Le message laissé était bien trollesque : “Trop d’ISIS. Augmentez votre calme. Il y a trop de gens s’intéressent à cette histoire d’ISIS. Alors regardez cette jolie publicité afin que nous puissions améliorer notre infrastructure et vous offrir le contenu ISIS dont vous rêvez tous si désespérément”. Et s’en suivait alors une publicité pour “la première pharmacie en ligne bitcoin” avec une sélection de médocs allant du Viagra au Prozac. Des terroristes qui prônent la mort et la destruction se retrouvent avec de la pub pour des antidépresseurs !
C’était tellement surréaliste que ça avait fait le tour du web. Imaginez la tête des recruteurs ISIS qui arrivent sur leur site de propagande et tombent sur “Achetez votre Viagra avec Bitcoin”. C’était ça la philosophie GhostSec, utiliser l’humour et la dérision pour désacraliser la propagande terroriste. Pas juste détruire, mais ridiculiser. Et c’est infiniment plus efficace psychologiquement. Comme ils le disaient, cette approche visait à “déterritorialiser” l’espace de communication qu’ISIS avait territorialisé pour la violence.
Mais comme toutes les belles histoires de hacktivisme, celle-ci tourne au vinaigre à cause de divergences philosophiques. En novembre 2015, 3 membres clés – DigitaShadow, ISHunter et GhostSecPI quittent le groupe pour créer Ghost Security Group (GSG), une entité séparée d’Anonymous.
Leur argument c’est que pour être vraiment efficaces contre ISIS, il faut collaborer officiellement avec le gouvernement américain. Exit l’anonymat, exit la désobéissance civile. Place à la coopération institutionnelle via des contrats avec des agences comme Kronos Advisory Group. Du coup, ils deviennent “légitimes” mais perdent leur âme.
Les autres membres du groupe ont mal pris la chose. TorReaper, notamment, reproche à l’équipe dissidente de transformer le renseignement en “marchandise” à protéger plutôt qu’à partager avec la communauté. Pour lui, c’était une trahison des valeurs d’Anonymous : “Le renseignement… est devenu une marchandise qui devait être protégée et a donc cessé d’être partagé avec les followers du groupe”. Bref, ça sent la séparation qui pique.
Mais peut-on changer le système de l’intérieur sans se faire corrompre par lui ?
DigitaShadow avait 14 spécialistes dans son équipe GSG, avec un financement stable et un accès direct aux décideurs. Mais il avait perdu l’âme anarchiste qui faisait la force d’Anonymous. C’est pourquoi TorReaper et les autres maintiennent le nom GhostSec sous bannière Anonymous, reconstruisant le groupe avec moins de hiérarchie et plus d’indépendance.
Pendant quelques années, les deux groupes coexistent. Ghost Security Group travaille avec les agences gouvernementales, GhostSec continue ses opérations indépendantes. Mais maintenir une infrastructure hacktiviste coûte cher. Serveurs, VPN, outils de chiffrement, tout ça représente un budget conséquent.
En 2016, le flux de propagande ISIS sur les réseaux sociaux devient si énorme que GhostSec change de stratégie. Au lieu de faire tomber des sites web, ils se concentrent sur la recherche de menaces directes, propagande, etc. Tout renseignement exploitable qu’ils peuvent ensuite transmettre aux agences de maintien de l’ordre américaines. Pour cela, ils se focalisent presque exclusivement sur les comptes Twitter.
Fin été 2016, nouveau tournant, GhostSec fusionne avec BlackOps Cyber, un groupe privé affilié à la corporation internationale BlackOps Partners. Avec cette fusion, GhostSec abandonne son masque Anonymous pour devenir partie intégrante d’une équipe de contre-terrorisme CyberHUMINT. Cette transformation signifiait des connexions plus profondes avec les forces de police internationales, Interpol, MI5, et autres. Pendant ce temps, WauchulaGhost garde sa position Anonymous pour combattre seul sous le nom de #GhostofNoNation, continuant ainsi la tradition du trolling créatif qu’il avait initiée.
Alors en 2022, GhostSec commence à diversifier ses activités. D’abord, ils s’attaquent aux infrastructures russes pour soutenir l’Ukraine comme en avril 2022, où ils paralysent le système ferroviaire de Metrospetstekhnika, empêchant le transport de matériel militaire via la Biélorussie.
Mais progressivement, la nécessité financière pousse le groupe vers des activités moins nobles. En juillet 2022, ils lancent “GhostSec Mafia Premium”, un service de cybercriminalité à la demande. L’idée c’est d’utiliser leurs compétences pour financer les opérations hacktivistes. Moralement discutable, mais stratégiquement cohérent.
Puis le 28 août 2023, GhostSec forme une alliance appelée “The Five Families” avec d’autres groupes : ThreatSec, Stormous, Blackforums, et SiegedSec. L’objectif selon eux, l’objectif c’est “Établir une meilleure unité et de meilleures connexions pour tous les acteurs du monde souterrain d’Internet, afin d’étendre et de développer notre travail et nos activités”. Et deux mois plus tard, ils lancent GhostLocker, un ransomware-as-a-service qui va faire parler de lui.
GhostLocker, c’était du solide. Interface de gestion complète pour les affiliés, système de double extorsion (chiffrement + vol de données), ciblage international. Ils frappent dans 16 pays : Cuba, Argentine, Pologne, Chine, Liban, Israël, Ouzbékistan, Inde, Afrique du Sud, Brésil, Maroc, Qatar, Turquie, Égypte, Vietnam, Thaïlande, Indonésie. Du bon gros niveau international !
Les secteurs visés sont la technologie, l’éducation, l’industrie, le gouvernement, le transport, l’énergie, le juridique, l’immobilier, et les télécoms. Du beau travail, malheureusement pas du bon côté de la barrière. La version de leur ransomware était codée en Python et compilée avec Nuitka, avec du chiffrement AES via la librairie Fernet.
En janvier 2024, ils sortent GhostLocker 2.0 écrit en Go avec des améliorations techniques significatives. Interface redesignée, meilleure gestion des campagnes, système de paiement optimisé. Le ransomware chiffre les fichiers et y ajoute l’extension “.ghost”… au moins ils assument leur identité !
En février 2024, GhostSec et Stormous lancent STMX_GhostLocker, un programme RaaS plus sophistiqué proposé à 269,99$ par mois. S’en suit une attaque de haut niveau en mars 2024 contre la brasserie belge Duvel Moortgat qui se fait dérober 88 GB de données et met à l’arrêt des lignes de production en Belgique et aux États-Unis. C’est là qu’on réalise l’ampleur du truc.
Puis le 15 mai 2024, GhostSec annonce officiellement son retrait des activités criminelles et son retour au hacktivisme. Sebastian Dante Alexander, le leader du groupe, forward un message depuis leur canal Telegram annonçant leur sortie de The Five Families et leur retour aux sources. D’après eux, ils avaient obtenu suffisamment de financement via les ransomwares pour soutenir leurs opérations hacktivistes à long terme.
En gros, ils ont fait du crime pour financer leur idéalisme. C’est totalement discutable moralement, mais stratégiquement ça a fonctionné. En tout cas, c’est du jamais vu dans l’histoire du hacktivisme ! Toutes les opérations GhostLocker sont alors transférées à Stormous, qui continue le programme RaaS. GhostSec, lui, revient à ses fondamentaux c’est à dire la surveillance du terrorisme en ligne, les opérations géopolitiques, et le bon vieil hacktivisme traditionnel. Alexander annonce également que leurs futures cibles incluront les organisations et agences gouvernementales israéliennes, ainsi que l’exposition de données relatives aux cartels mexicains.
Alors aujourd’hui, que reste-t-il de toute cette aventure ? Et bien GhostSec a probablement empêché des attentats, démantelé des réseaux de propagande, et sauvé des vies.
Mais leur parcours illustre aussi les dilemmes moraux du hacktivisme car quand vous avez les compétences pour améliorer le monde, comment est-ce que vous vous financez ? Comment est-ce que vous restez indépendants ? Et surtout, la fin justifie-t-elle tous les moyens ?
La transformation de GhostSec → cybercriminalité → retour au hacktivisme est unique dans l’histoire du hack car c’est la première fois qu’un groupe reconnaît explicitement avoir fait du crime pour financer son idéalisme, puis arrête quand l’objectif est atteint. Et bien sûr, ça fait débat dans la communauté hacker.
Mais au-delà de l’aspect moral, GhostSec pose une question fondamentale : les actions du groupe s’attaquaient-elles vraiment aux causes profondes du terrorisme, ou ne faisaient-elles que reproduire les mêmes structures étatiques que les terroristes combattent ? Étaient-ils des pirates créant des “zones autonomes temporaires” au nom des droits humains, ou simplement des corsaires générant du profit dans la guerre mondiale contre le terrorisme ?
Mais parlons un peu technique, parce que c’est là que GhostSec excelle vraiment. Leurs méthodes combinent sophistication technologique et intelligence humaine de façon magistrale.
Infiltration sociale : Grâce à des membres arabophones comme Lara Abdallat, ils s’incrustaient dans les forums et groupes Telegram ISIS. Ils se faisaient passer pour des sympathisants, collectaient des informations sur les recruteurs, les méthodes de propagande, les projets d’attaques. Du bon gros HUMINT (Human Intelligence).
SQL injection avancée : Pour compromettre les sites ISIS, ils utilisent des techniques d’injection SQL sophistiquées, permettant d’accéder aux bases de données complètes. Ils récupèrent ainsi les listes d’utilisateurs, les communications privées, les documents stratégiques. Classique mais efficace.
DDoS coordonnés : Contrairement aux attaques DDoS anarchiques d’Anonymous, GhostSec orchestre des campagnes ciblées et temporisées. L’objectif n’est pas juste de faire tomber un site, mais de perturber des opérations spécifiques à des moments stratégiques.
10 ans après Charlie Hebdo, GhostSec a effectivement tenu sa promesse de retour au hacktivisme avec une expertise accrue grâce à leur expérience de la décennie écoulée. Ghost Security Group (la branche gouvernementale) continue ses activités de conseil auprès des agences américaines. Et Lara Abdallat travaille désormais ouvertement avec les autorités jordaniennes sur les questions de cybersécurité.
L’évolution de GhostSec, d’Anonymous à groupe semi-gouvernemental, puis à cybercriminels, et retour au hacktivisme, illustre parfaitement les paradoxes du monde numérique moderne. Leur histoire montre qu’il n’existe pas de frontière claire entre le bien et le mal dans le cyberespace, seulement des nuances de gris dans un monde en perpétuelle mutation.
Après avoir écrit tout ça, en tout cas, j’ai très envie de savoir ce qu’ils préparent pour la suite, parce que connaissant leur capacité à nous surprendre, on n’a pas fini d’entendre parler d’eux.
Sources : Wikipedia – Ghost Security, Mic.com – Anonymous Divided: Inside the Two Warring Hacktivist Cells Fighting ISIS Online, Washington Times – Ghost Sec hacks ISIS site on deep web with Viagra, Prozac ad, Wikipedia – Lara Abdallat, The Sec Master – GhostSec: From Hacktivism to Cybercrime Evolution, The Cyber Express – GhostSec Returns To Hacktivism After Ransomware Ops, SOCRadar – The Five Families: Hacker Collaboration Redefining the Game, Robert Tynes – When GhostSec Goes Hunting (Limn Magazine)
Source : korben.info